Tính năng quét mã tự động này dựa trên các công cụ kiểm tra mã mà GitHub đã mua năm 2019 khi mua lại công ty Semmle (Anh), cho phép tự động vẽ biểu đồ và dò quét mã khi có yêu cầu gửi mã nguồn mới lên kho lưu trữ, cũng như kiểm tra một số lỗi phổ biến có thể gây ra lỗ hổng bảo mật.
Giám đốc sản phẩm cao cấp của GitHub - Justin Hutchings nói rằng, một thành phần quan trọng trong quá trình quét mã của Semmle (giờ là GitHub) là CodeQL, ngôn ngữ truy vấn biểu đồ và kiểm tra mã lỗi. Tính năng này rất hữu ích trong việc bảo mật. Bởi hầu hết các vấn đề bảo mật liên quan đến luồng dữ liệu xấu hoặc sử dụng dữ liệu xấu theo một cách nào đó.
Mặc dù tính năng này đối với GitHub là mới, nhưng các công cụ Semmle đã được sử dụng trong thời gian dài. Đó là lý do GitHub tin rằng chúng sẽ hoạt động hiệu quả khi khởi chạy miễn phí cho các dự án nguồn mở và như một tiện ích bổ sung cho phần đóng, trả tiền dành cho doanh nghiệp của GitHub.
Tuy tính năng quét mã có thể hiệu quả nhất đối với các dự án nhỏ không có đủ thời gian kiểm tra lỗi kỹ lưỡng, thì Hutchings lưu ý rằng, bằng cách đưa tính năng lên đám mây, các nhà phát triển lớn cũng sẽ hưởng lợi từ điều này. "Rất nhiều khách hàng thương mại của chúng tôi tỏ ra hào hứng về việc có thể thực hiện tính năng này ở quy mô lớn trên đám mây", ông cho biết thêm.
Phân tích bảo mật tốn rất nhiều năng lực tính toán vì phải xử lý hàng triệu dòng mã. Các nhà phát triển đều muốn thực hiện điều này một cách nhanh chóng. Việc làm này của Github đã mang tới khả năng đánh giá trên một môi trường đám mây, giúp tính năng này trở nên nhanh hơn so với trước đây.
Ngoài việc quét lỗ hổng bảo mật, GitHub cũng đang bổ sung thêm tùy chọn cho các nhà phát triển thương mại để quét các kho lưu trữ ngoại tuyến và tìm các thông tin bí mật có thể bị lộ lọt (khóa, thông tin đăng nhập,...) dẫn đến xâm nhập mạng và rò rỉ dữ liệu. Vốn trước đây chỉ giới hạn ở các kho lưu trữ công cộng (như AWS hoặc Google Cloud), thì tính năng quét thông tin bí mật giờ đây sẽ có thể thực hiện trên các kho lưu trữ GitHub riêng tư.
Ngoài ra, Hutchings cho biết, đây không chỉ là một tính năng bảo mật mà còn là một tính năng ổn định, vì nó giúp các nhà phát triển thực hiện được các chính sách bảo mật yêu cầu thay đổi khóa định kỳ bằng cách theo dõi và ghi lại các thay đổi. Theo cách này, các nhà phát triển có thể ngăn chặn sự cố ngừng hoạt động có thể xảy ra khi các thay đổi khóa không được báo cáo và xử lý đúng cách.
Nguyễn Anh Tuấn
(Theo Register)
11:00 | 16/04/2020
07:00 | 04/05/2020
14:00 | 22/02/2024
09:00 | 14/04/2020
14:00 | 11/09/2024
Trong 02 ngày 07 - 08/9/2024, Học viện Kỹ thuật mật mã đã tổ chức thành công Hội thảo UEC Đông Nam Á lần thứ 11 và Hội thảo chuyên ngành UEC lần thứ 6. Đặc biệt, hai nhóm sinh viên của Học viện Kỹ thuật mật mã đã xuất sắc giành giải thưởng "Young Researchers Encouragement Award", nhờ những nghiên cứu nổi bật của mình.
08:00 | 31/08/2024
Bản tin podcast ngày hôm nay kính mời quý vị cùng điểm lại những dấu mốc quan trọng, tiêu biểu của ngành Cơ yếu Việt Nam liên quan đến ngày 31 tháng 8 mà Tạp chí An toàn thông tin điện tử tổng hợp. Xin kính mời quý vị và các bạn lắng nghe.
16:00 | 07/08/2024
Sáng ngày 07/8/2024, tại Hà Nội, Tạp chí An toàn thông tin đã tổ chức Hội nghị Hội đồng biên tập Ấn phẩm An toàn thông tin năm 2024. Đồng chí Thiếu tướng, TS. Nguyễn Hữu Hùng, Phó Trưởng ban Ban Cơ yếu Chính phủ, Chủ tịch Hội đồng biên tập Ấn phẩm An toàn thông tin chủ trì Hội nghị. Tham dự Hội nghị có các đồng chí trong Hội đồng biên tập Ấn phẩm An toàn thông tin; đại diện lãnh đạo một số cơ quan, đơn vị thuộc Ban và cán bộ thuộc Tạp chí An toàn thông tin.
14:00 | 02/08/2024
Ngày 25/7, Chính phủ Singapore cho biết, tin tặc đã xâm nhập nền tảng bên thứ ba Ezynetic và đánh cắp dữ liệu khoảng 128.000 khách hàng của 12 tổ chức tín dụng hợp pháp tại quốc gia này. Dữ liệu bị đánh cắp chứa thông tin định danh cá nhân của khách hàng.
Kaspersky sẽ ngừng cung cấp dịch vụ tại Mỹ do lệnh cấm của chính phủ, với khoảng một triệu khách hàng của họ sẽ được chuyển sang phần mềm chống mã độc UltraAV thuộc sở hữu của Pango. Việc này đánh dấu bước chuyển giao lớn trong thị trường an ninh mạng tại Hoa Kỳ.
08:00 | 18/09/2024
Chương trình “Vinh quang thầm lặng 2024” do Ban Cơ yếu Chính phủ chỉ đạo, Tạp chí An toàn thông tin phối hợp với Oscar Media tổ chức đặc biệt chào mừng Kỷ niệm 80 năm ngày thành lập QĐND Việt Nam (22/12/1944-22/12/2024), 35 năm Ngày Quốc phòng toàn dân (22/12/1989-22/12/2024) và Kỷ niệm 79 năm Ngày thành lập ngành Cơ yếu Việt Nam (12/9/1945-12/9/2024). Chương trình diễn ra tại Trung tâm Hội nghị Quốc gia Hà Nội ngày 06/9/2024, phát sóng trực tiếp trên kênh Truyền hình Quốc phòng Việt Nam, với sự tài trợ chính của Công ty Cổ phần Sản xuất và Kinh doanh VinFast.
10:00 | 10/09/2024
Ngày 10/9 vừa qua, Microsoft đã tổ chức một hội nghị thượng đỉnh để thảo luận về các bước cải thiện hệ thống an ninh mạng, sau khi bản cập nhật phần mềm bị lỗi từ CrowdStrike đã gây ra sự cố gián đoạn công nghệ thông tin phạm vi toàn cầu vào tháng 7.
09:00 | 17/09/2024