Aggiornamenti recenti Settembre 28th, 2023 4:08 PM
partner
News Recenti
- Transparency Center Initiative di Kaspersky Lab: cosa significa per l’Italia
- Addio password: su Windows 11 arriva il supporto nativo per le passkey
- Torna ZeroFont: la vecchia tecnica di phishing si è rinnovata
- Individuata una vulnerabilità critica in libwebp già sfruttata dagli attaccanti
- Malware-as-a-service: i ransomware sono i software più venduti
- Il settore automotive abbraccia la cybersecurity: calano le vulnerabilità critiche nelle auto
GitHub code scanning facilita l’analisi delle vulnerabilità
GitHub ha rilasciato code scanning, una funzionalità di sicurezza che permette di analizzare il codice di un repository per identificare vulnerabilità ed errori. La feature è in grado anche di dare una priorità ai problemi e prevenirne di futuri tramite un sistema di alert puntuali sul codice.
Usato in combinazione con CodeQL, code scanning può eseguire analisi automatizzate del codice in diversi repository. Attualmente può essere usato solo con la configurazione di default che genera query CodeQL, trigger ed eventi in base al contenuto del repository. In futuro GitHub prevede di rendere personalizzabile la configurazione: gli utenti potranno modificare le query e le azioni da intraprendere in base alle proprie esigenze.
Una volta abilitata, la funzionalità scansiona in automatico il codice ogni volta che si verifica uno dei trigger configurati che nella configurazione di default sono eventi di push e pull sui branch flaggati come “protected”.
CodeQL per il code scanning di GitHub
La funzionalità di code scanning di GitHub automatizza l’esecuzione di query in CodeQL per individuare problemi di sicurezza, vulnerabilità nel codice ed errori di programmazione. Il motore di analisi di GitHub lavora con due tipi di query: le alert queries, che evidenziano problemi in punti precisi del codice, e path queries, che descrivono il flusso di informazione da una sorgente a una destinazione.
Le prime vengono usate per individuare errori nel codice che potrebbero portare, come eccezioni non gestite o deserializzazioni non sicure. Le seconde, invece, si rivelano particolarmente utili per seguire il flusso dei dati nelle funzioni e identificare eventuali data leak o problemi di sicurezza causati da input malevoli passati come argomenti di funzioni.
Per il momento la feature di code scanning è disponibile solo per repository in Python, Javascript e Ruby; nei prossimi mesi GitHub estenderà il supporto anche ad altri linguaggi. Code scanning ha un potenziale elevato e, con diversi gradi di personalizzazione, potrà rivelarsi un potente alleato per gli sviluppatori.
Condividi l'articolo
- code scanning, codeql, data flow, data leak, GitHub, programmazione, vulnerabilità, vulnerabilità codice
ChatGPT: una nuova arma nell’arsenale dei criminali informatici
Il costo del ransomware continua a crescere
Articoli correlati
Altro in questa categoria
Approfondimenti
-
Malware-as-a-service: i ransomware sono i software più... I cybercriminali stanno sviluppando nuovi attacchi,... -
Il settore automotive abbraccia la cybersecurity: calano le... Sembra che la cybersecurity sia diventata centrale per il... -
Il cybercrimine organizza competizioni per sviluppare nuovi... Uno dei modi migliori per condividere idee e favorire la... -
DDoS tramite dispositivi IoT: una minaccia sempre più... I dispositivi IoT stanno trasformando l’operatività... -
Fine Grain Password: un servizio Microsoft per gestire... La sicurezza delle password è un aspetto cruciale per...
Minacce recenti
Off topic
-
Maythefourth: La caduta dell’Impero Galattico è... E se vi dicessimo che la saga di Star Wars ... -
Gli hacker e il cinema: i dieci migliori film secondo... Abbiamo rubato al blog di Kaspersky un vecchio pezzo di... -
Campione di scacchi blinda il PC. “Paura degli hacker” Il numero uno degli scacchi mondiali Magnus Carlsen ha... -
L’autore di fsociety pensa di essere Mr. Robot, ma è un... Il pirata informatico che ha creato il ransomware cerca... -
Yahoo sospende l’inoltro delle email. Paura di un esodo... Dopo la raffica di figuracce, l’azienda sospende per...
Post recenti
-
Addio password: su Windows 11 arriva il supporto nativo per... L’ultimo aggiornamento di Windows 11 include nuove... -
Torna ZeroFont: la vecchia tecnica di phishing si è... ZeroFont, una tecnica di phishing già ampiamente... -
Individuata una vulnerabilità critica in libwebp già... Google ha individuato una nuova vulnerabilità critica, la... -
Trovati nuovi pacchetti npm malevoli che sottraggono le... Il team di sicurezza di Sonatype ha individuato una -
Scoperto Sandman, un gruppo cybercriminale che colpisce i... SentinelLabs e QGroup GmbH hanno individuato un nuovo...
Ransomware: la serie
No posts found.
