0
  • 聊天消息
  • 系统消息
  • 评论与回复
登录后你可以
  • 下载海量资料
  • 学习在线课程
  • 观看技术视频
  • 写文章/发帖/加入社区
会员中心
创作中心

完善资料让更多小伙伴认识你,还能领取20积分哦,立即完善>

3天内不再提示

GitHub推出新功能:智能扫描代码潜在漏洞

微云疏影 来源:综合整理 作者:综合整理 2024-03-21 14:55 次阅读

3 月 21 日,GitHub 推出的全新“代码扫描”功能,面向所有享有Advanced Security(GHAS)许可的用户,旨在查找并识别代码中的安全漏洞及编码错误。

此项新功能依靠Copilot及CodeQL(GitHub自主研发的代码分析引擎,专司自动化安全检测),能够找出潜藏于代码之中的漏洞或错误,并对其进行归类和排序,以便按照优先级进行修复。值得注意的是,“代码扫描”功能需要占用GitHub Actions的时间资源。

“代码扫描”功能还能预防新手引入新的问题,并支持在设定的日期和时间进行扫描,或者让特定事件(如推送到仓库中)触发扫描。若AI判定代码内可能存在隐患,GitHub将在仓库中发出预警,待用户修正引发求救信号的部分后,再撤销警告。

为了查看自己仓库或是组织的“代码扫描”结果,用户可以通过web挂钩和code scannning API进行监控。此外,“代码扫描”亦可与支持输出静态分析结果交换格式 (SARIF)数据的第三方代码扫描工具实现互通。

当前,通过CodeQL进行“代码扫描”的三种主要方式如下:

使用默认设置,迅速在仓库上配置相关的CodeQL分析。这一步骤会自动挑选所需分析的语言、查询套件,以及触发扫描的条件。若需更改,也可手动调整。启动CodeQL后,GitHubActions将执行一系列任务以检测代码。

利用高级设置,向仓库中添加CodeQL工作流。该流程将生成自定义的工作流文件,并运用github/codeql-action运行CodeQL CLI。

直接在外部CI系统中运行CodeQL CLI,然后将得到的结果上传至GitHub。

GitHub表示,这一AI系统具备修复其所发现漏洞的能力,三分之二以上的漏洞无需人工干预即可自行修复。他们还承诺,代码扫描自动修复将覆盖其所支持语言中超过90%的问题类型,涵盖JavaScript、Typescript、Java和Python等。

声明:本文内容及配图由入驻作者撰写或者入驻合作网站授权转载。文章观点仅代表作者本人,不代表电子发烧友网立场。文章及其配图仅供工程师学习之用,如有内容侵权或者其他违规问题,请联系本站处理。 举报投诉
  • AI
    AI
    +关注

    关注

    87

    文章

    30072

    浏览量

    268331
  • 漏洞
    +关注

    关注

    0

    文章

    204

    浏览量

    15357
  • GitHub
    +关注

    关注

    3

    文章

    466

    浏览量

    16380
收藏 人收藏

    评论

    相关推荐

    漏洞扫描一般采用的技术是什么

    漏洞扫描是一种安全实践,用于识别计算机系统、网络或应用程序中的安全漏洞。以下是一些常见的漏洞扫描技术: 自动化
    的头像 发表于 09-25 10:27 284次阅读

    漏洞扫描的主要功能是什么

    弱点,以减少潜在的安全风险。 1. 漏洞识别 漏洞扫描的首要功能是识别系统中存在的安全漏洞。这些
    的头像 发表于 09-25 10:25 299次阅读

    《七剑下天山》之“七剑利刃”:“新一代”漏洞扫描管理系统

    日前,国内专注于保密与非密领域的分级保护、等级保护、业务连续性安全和大数据安全产品解决方案与相关技术研究开发的领军企业——国联易安自主研发推出“新一代”漏洞扫描管理系统:国联统一系统脆弱性管理平台
    的头像 发表于 09-09 11:23 330次阅读

    Meta旗下社交平台Threads推出新功能

    Meta旗下的新兴社交平台Threads近期宣布了一系列新功能推出,旨在为企业用户和数字创作者提供更加便捷和强大的内容管理工具。此次更新不仅丰富了平台的交互体验,还进一步提升了数据透明度与发布效率。
    的头像 发表于 08-16 18:00 1177次阅读

    GitHub推出GitHub Models服务,赋能开发者智能选择AI模型

    8月2日,全球领先的代码托管平台GitHub宣布了一项重大创新——GitHub Models服务的正式推出。该服务被定位为AI时代的工程师助手,旨在帮助全球超过1亿的
    的头像 发表于 08-02 15:39 515次阅读

    亚马逊云科技推出多项安全服务新功能

    在近日举办的re:Inforce 2024全球大会上,亚马逊云科技(Amazon Web Services, AWS)再次彰显了其在云计算安全领域的领先地位,推出了一系列激动人心的安全服务新功能。这些新功能不仅提升了用户数据的安
    的头像 发表于 06-12 15:14 455次阅读

    OpenAI推出ChatGPT实时数据分析新功能

    近日,OpenAI在ChatGPT中推出了令人瞩目的实时数据分析新功能。这一创新功能为用户提供了前所未有的数据处理体验,极大地提升了数据处理的便捷性。
    的头像 发表于 05-20 11:28 570次阅读

    GitHub存在高危漏洞,黑客可利用进行恶意软件分发

    据悉,该漏洞允许用户在不存在的GitHub评论中上传文件并创建下载链接,包括仓库名和所有者信息。这种伪装可能使受害者误以为文件为合法资源。
    的头像 发表于 04-23 14:36 628次阅读

    艾为电子推出高压触觉反馈产品三大新功能

    随着线性马达技术研究的持续深入,艾为电子推出高压触觉反馈产品三大新功能,赋予用户前所未有的沉浸式体验。
    的头像 发表于 04-20 10:07 485次阅读
    艾为电子<b class='flag-5'>推出</b>高压触觉反馈产品三大<b class='flag-5'>新功能</b>

    LG智能电视被曝存四安全漏洞,影响超9万台设备

    漏洞利用了3000/3001端口上运行的服务,主要为智能手机提供PIN接入功能。Bitdefender指出,虽然这些漏洞应仅限局域网使用,但Shodan
    的头像 发表于 04-10 14:12 517次阅读

    GitHub启用推送保护功能,强化代码安全

    这项于去年 8 月上线的“推送保护”功能初现时,用户需自行在设定中打开开关。然而,随着近期日益频繁的敏感数据泄露事件的发生,GitHub 决定将此设为默认选项。
    的头像 发表于 03-04 11:40 530次阅读

    爱立信推出认知软件新功能

    日前,爱立信宣布在其专为运营商设计的认知软件组合中,新增采用“可解释性人工智能(Explainable AI,XAI)”的新功能,进一步加速在网络设计和优化中采用人工智能后的价值转化。
    的头像 发表于 02-22 09:22 5204次阅读

    POC管理和漏洞扫描小工具

    本工具是采用javafx编写,使用sqllite进行poc储存的poc管理和漏洞扫描集成化工具。主要功能是poc管理,并且采用多线程进行漏洞扫描
    的头像 发表于 01-09 11:01 730次阅读
    POC管理和<b class='flag-5'>漏洞</b><b class='flag-5'>扫描</b>小工具

    GitHub入门与实践

    GitHub 是一个基于 Git 版本控制系统的代码托管平台,它提供了许多功能和用途,主要面向软件开发和协作。以下是 GitHub 的主要用途和一些关键技术:
    发表于 12-14 09:53 6次下载

    ntopng如何将漏洞扫描与流量监控相结合,以提高网络安全性

    ntopng为人所知的“身份”是被动流量监控。然而,如今的ntopng6.0也进化出主动监控功能来,漏洞扫描功能便是其中一个。那么漏洞
    的头像 发表于 11-25 08:04 375次阅读
    ntopng如何将<b class='flag-5'>漏洞</b><b class='flag-5'>扫描</b>与流量监控相结合,以提高网络安全性