Ontwikkelaars kunnen repositories met een paar klikken op kwetsbaarheden laten scannen via een nieuwe standaardinstelling in GitHub.

De standaardinstelling is alleen beschikbaar voor code in Python, JavaScript en Ruby. Product marketing manager Walker Chabbott liet weten dat GitHub in de komende zes maanden meer programmeertalen wil toevoegen.

Gebruikers kunnen codescans configureren door in de repository-instellingen te navigeren naar ‘Code security and analysis’, gevolgd door ‘Set up’ en de nieuwe ‘Default’-optie.

GitHub code scannen

“Wanneer je op ‘Default’ klikt zie je automatisch een op maat gemaakt configuratieoverzicht op basis van de inhoud van de repository”, vertelde Chabbott. “Het overzicht omvat talen die in de repository worden gedetecteerd, query packs die zullen worden gebruikt en events die scans zullen triggeren.”

De opties worden in de toekomst aanpasbaar, voegt Chabbott toe. De functie controleert op kwetsbaarheden in de repository zodra de gebruiker op ‘Enable CodeQL’ klikt. GitHub helpt bij het oplossen van eventuele bugs, waardoor gebruikers sneller veilige software kunnen ontwikkelen.

CodeQL

Code analysis engine CodeQL werd in GitHub geïntegreerd nadat de organisatie analyseplatform Semmle in september 2019 overnam. Algemene beschikbaarheid volgde in september 2020, vier maanden na de aanvankelijke beta in GitHub Satellite.

Code scanning is gratis voor alle openbare repositories. Bedrijven met private repositories kunnen de functie afnemen als GitHub Advanced Security tool. Vorige maand lanceerde GitHub een gratis secret scanning-dienst voor controles van blootgestelde inloggegevens, waaronder secrets.