Aggiornamenti recenti Giugno 13th, 2025 12:44 AM
partner
News Recenti
- Transparency Center Initiative di Kaspersky Lab: cosa significa per l’Italia
- EchoLeak: è arrivata la prima vulnerabilità zero clic per le IA (Microsoft 365 Copilot)
- Smartwatch e attacchi acustici: nuova minaccia alle reti isolate
- Microsoft rilascia patch per 67 bug, di cui uno già sfruttato
- Un bug di Google consentiva di scoprire il numero di telefono degli utenti in pochi minuti
- Helmon e la cybersecurity per tutti. Soprattutto le PMI
GitHub code scanning facilita l’analisi delle vulnerabilità
GitHub ha rilasciato code scanning, una funzionalità di sicurezza che permette di analizzare il codice di un repository per identificare vulnerabilità ed errori. La feature è in grado anche di dare una priorità ai problemi e prevenirne di futuri tramite un sistema di alert puntuali sul codice.
Usato in combinazione con CodeQL, code scanning può eseguire analisi automatizzate del codice in diversi repository. Attualmente può essere usato solo con la configurazione di default che genera query CodeQL, trigger ed eventi in base al contenuto del repository. In futuro GitHub prevede di rendere personalizzabile la configurazione: gli utenti potranno modificare le query e le azioni da intraprendere in base alle proprie esigenze.
Una volta abilitata, la funzionalità scansiona in automatico il codice ogni volta che si verifica uno dei trigger configurati che nella configurazione di default sono eventi di push e pull sui branch flaggati come “protected”.
CodeQL per il code scanning di GitHub
La funzionalità di code scanning di GitHub automatizza l’esecuzione di query in CodeQL per individuare problemi di sicurezza, vulnerabilità nel codice ed errori di programmazione. Il motore di analisi di GitHub lavora con due tipi di query: le alert queries, che evidenziano problemi in punti precisi del codice, e path queries, che descrivono il flusso di informazione da una sorgente a una destinazione.
Le prime vengono usate per individuare errori nel codice che potrebbero portare, come eccezioni non gestite o deserializzazioni non sicure. Le seconde, invece, si rivelano particolarmente utili per seguire il flusso dei dati nelle funzioni e identificare eventuali data leak o problemi di sicurezza causati da input malevoli passati come argomenti di funzioni.
Per il momento la feature di code scanning è disponibile solo per repository in Python, Javascript e Ruby; nei prossimi mesi GitHub estenderà il supporto anche ad altri linguaggi. Code scanning ha un potenziale elevato e, con diversi gradi di personalizzazione, potrà rivelarsi un potente alleato per gli sviluppatori.
Condividi l'articolo
- code scanning, codeql, data flow, data leak, GitHub, programmazione, vulnerabilità, vulnerabilità codice
ChatGPT: una nuova arma nell’arsenale dei criminali informatici
Il costo del ransomware continua a crescere
Articoli correlati
Altro in questa categoria
Approfondimenti
-
Le aziende italiane prevedono un aumento degli investimenti... La cybersecurity sta acquisendo sempre più importanza tra... -
Sophos Annual Threat Report: i malware e gli strumenti più... Nel 2024, le piccole e medie imprese, spesso considerate il... -
Down di MATLAB: MathWorks conferma l’attacco... MATLAB ha smesso di funzionare per quasi una settimana e... -
Acronis: l’italia traina la crescita MSP Nel corso del “TRU Security Day 2025” di... -
Akamai individua “BadSuccessor” per... I ricercatori di Akamai hanno individuato di recente...
Minacce recenti
Off topic
-
L’IA generativa unifica le interfacce di gestione e... Con l’avvento dell’IA generativa... -
Cyberinsurance: misurare il rischio umano può... Negli ultimi anni sempre più aziende stanno sottoscrivendo... -
Il machine learning di Kaspersky aumenta la capacità di... Grazie al machine learning, il Global Research and Analysis... -
I vertici aziendali non sono del tutto pronti alle nuove... Il 2024 è l’anno delle nuove normative di sicurezza:... -
Più della meta delle aziende geo-distribuite ha problemi... Una delle sfide principali delle aziende distribuite sul...
Post recenti
-
EchoLeak: è arrivata la prima vulnerabilità zero clic per... Nel gennaio 2025, i ricercatori di Aim Labs hanno... -
Smartwatch e attacchi acustici: nuova minaccia alle reti... Le reti air-gapped, ovvero fisicamente separate da Internet... -
Microsoft rilascia patch per 67 bug, di cui uno già... Nell’aggiornamento di sicurezza di giugno Microsoft... -
Un bug di Google consentiva di scoprire il numero di... Di recente Google ha agito su un bug che consentiva... -
Helmon e la cybersecurity per tutti. Soprattutto le PMI In un contesto nazionale in cui il cyber crime colpisce...
Ransomware: la serie
No posts found.
