Seznámení s pokročilým zabezpečením GitHubu
GitHub Advanced Security (GHAS) je komplexní sada funkcí zabezpečení navržená tak, aby zlepšila stav zabezpečení projektů vývoje softwaru. Kromě toho, že je úzce integrovaná s GitHubem. GHAS je také k dispozici jako rozšíření Azure DevOps, které poskytuje podobné funkce na obou platformách.
I když GHAS není určen k přímému měření technického dluhu, jeho schopnosti mohou výrazně přispět k jeho zjišťování a nápravě. GHAS nabízí analýzu kódu, správu závislostí a pokročilé kontroly kódu spolu se službami kontroly zabezpečení, jako je kontrola kódu, kontrola tajných kódů a kontrola závislostí. GHAS také poskytuje podrobné přehledy a doporučení, které vám pomůžou určit prioritu a řešit ohrožení zabezpečení.
Díky využití těchto funkcí mohou organizace aktivně identifikovat a řešit technický dluh v rané fázi životního cyklu vývoje. To snižuje rizika zabezpečení, zvyšuje kvalitu kódu a usnadňuje dlouhodobou udržovatelnost svých softwarových projektů.
Analýza CodeQL
CodeQL je sémantický modul pro analýzu kódu, který vývojářům pomáhá identifikovat problémy v rámci svých základů kódu. Poskytuje deklarativní dotazovací jazyk navržený tak, aby hledal vzory, které pomáhají identifikovat chyby kódování a chyby návrhu, z nichž všechny přispívají k akumulace technického dluhu. Jeho možnosti analýzy se dají použít také ke zjišťování potenciálních ohrožení zabezpečení, jako jsou chyby injektáže, problémy s ověřováním a problémy s řízením přístupu, které často značí základní technický dluh.
Správa závislostí
Správa závislostí je důležitá pro správu technického dluhu spojeného se zastaralými nebo ohroženými závislostmi. Kontrola závislostí GHAS poskytuje přehled o závislostech projektu, včetně informací o zastaralých balíčcích, ohroženích zabezpečení a problémech s licencováním. Dependabot dokáže automaticky aktualizovat závislosti pomocí ohrožení zabezpečení a pomáhá udržovat základ kódu v aktualizovaném a zabezpečeném stavu.
Kontrola kódu
Kontrola kódu automaticky prohledává úložiště kódu a hledá potenciální chyby zabezpečení a chyby kódování, včetně zápachů kódu a anti-vzorů, pomocí kombinace technik statické analýzy. Detekuje běžné problémy se zabezpečením, jako je skriptování mezi weby (XSS), injektáž SQL a přetečení vyrovnávací paměti, které podobně jako analýza založené na CodeQL běžně značí technický dluh vyplývající z nezabezpečených postupů kódování. Kromě toho kontrola bezpečnostních kódů poskytuje užitečné přehledy o kvalitě kódu a bezpečnostních rizicích, což pomáhá stanovit prioritu a řešit technický dluh nejúčinnějším a nejúčinnějším způsobem.