Aggiornamenti recenti Ottobre 17th, 2025 9:00 AM
partner
News Recenti
- Transparency Center Initiative di Kaspersky Lab: cosa significa per l’Italia
- In Italia oltre 2.000 attacchi settimana, ben più della media globale. La ricerca di Check Point
- ChatGPT Agent può essere usato per esfiltrare dati
- La complessità delle password non è così importante. Lo dice il NIST
- Da Ingecom a Ignition Italia: Exclusive Networks rafforza la sua presenza nel Sud Europa
- Apple si oppone alla verifica dell’età per il download delle app
GitHub code scanning facilita l’analisi delle vulnerabilità
GitHub ha rilasciato code scanning, una funzionalità di sicurezza che permette di analizzare il codice di un repository per identificare vulnerabilità ed errori. La feature è in grado anche di dare una priorità ai problemi e prevenirne di futuri tramite un sistema di alert puntuali sul codice.
Usato in combinazione con CodeQL, code scanning può eseguire analisi automatizzate del codice in diversi repository. Attualmente può essere usato solo con la configurazione di default che genera query CodeQL, trigger ed eventi in base al contenuto del repository. In futuro GitHub prevede di rendere personalizzabile la configurazione: gli utenti potranno modificare le query e le azioni da intraprendere in base alle proprie esigenze.
Una volta abilitata, la funzionalità scansiona in automatico il codice ogni volta che si verifica uno dei trigger configurati che nella configurazione di default sono eventi di push e pull sui branch flaggati come “protected”.
CodeQL per il code scanning di GitHub
La funzionalità di code scanning di GitHub automatizza l’esecuzione di query in CodeQL per individuare problemi di sicurezza, vulnerabilità nel codice ed errori di programmazione. Il motore di analisi di GitHub lavora con due tipi di query: le alert queries, che evidenziano problemi in punti precisi del codice, e path queries, che descrivono il flusso di informazione da una sorgente a una destinazione.
Le prime vengono usate per individuare errori nel codice che potrebbero portare, come eccezioni non gestite o deserializzazioni non sicure. Le seconde, invece, si rivelano particolarmente utili per seguire il flusso dei dati nelle funzioni e identificare eventuali data leak o problemi di sicurezza causati da input malevoli passati come argomenti di funzioni.
Per il momento la feature di code scanning è disponibile solo per repository in Python, Javascript e Ruby; nei prossimi mesi GitHub estenderà il supporto anche ad altri linguaggi. Code scanning ha un potenziale elevato e, con diversi gradi di personalizzazione, potrà rivelarsi un potente alleato per gli sviluppatori.
Condividi l'articolo
- code scanning, codeql, data flow, data leak, GitHub, programmazione, vulnerabilità, vulnerabilità codice
ChatGPT: una nuova arma nell’arsenale dei criminali informatici
Il costo del ransomware continua a crescere
Articoli correlati
Altro in questa categoria
Approfondimenti
-
In Italia oltre 2.000 attacchi settimana, ben più della... Il Global Threat Intelligence Report di settembre... -
ChatGPT Agent può essere usato per esfiltrare dati ChatGPT Agent può essere usato per esfiltrare dati: lo ha... -
La complessità delle password non è così importante. Lo... Aumentare la complessità delle password, richiedendo... -
Ricerca FireMon: il 60% dei firewall non supera i controlli... Secondo l’ultima ricerca di FireMon, azienda di... -
L’importanza delle coperture assicurative cyber per... Tra le conseguenze più impattanti degli attacchi...
Minacce recenti
Off topic
-
L’IA generativa unifica le interfacce di gestione e... Con l’avvento dell’IA generativa... -
Cyberinsurance: misurare il rischio umano può... Negli ultimi anni sempre più aziende stanno sottoscrivendo... -
Il machine learning di Kaspersky aumenta la capacità di... Grazie al machine learning, il Global Research and Analysis... -
I vertici aziendali non sono del tutto pronti alle nuove... Il 2024 è l’anno delle nuove normative di sicurezza:... -
Più della meta delle aziende geo-distribuite ha problemi... Una delle sfide principali delle aziende distribuite sul...
Post recenti
-
In Italia oltre 2.000 attacchi settimana, ben più della... Il Global Threat Intelligence Report di settembre...
-
ChatGPT Agent può essere usato per esfiltrare dati ChatGPT Agent può essere usato per esfiltrare dati: lo...
-
La complessità delle password non è così importante. Lo... Aumentare la complessità delle password, richiedendo...
-
Da Ingecom a Ignition Italia: Exclusive Networks rafforza... Dopo quasi trent’anni di attività nel mondo della... -
Apple si oppone alla verifica dell’età per il... In un nuovo post sul proprio blog, Apple ha espresso...
Ransomware: la serie
No posts found.