Githubがコードスキャニング機能をネイティブとしてリリースすることを発表しました。GithubはSemmlを迎えて一年、ついに公開となりました。

今回発表したコードキャンは、CodeQLエンジンを利用し2000以上のCodeQLクエリまたはカスタムクエリを作成してCode内のセキュリティ脆弱性を解析します。Github Code Scanningは、OASIS静的解析結果交換フォーマット(SARIF)に準拠している為、オープンソースや商用のSAST(静的解析)に組み込みこともできるのだとか。

Github Code Scanning βでの実績

Justin Hutchings氏のブログにアップされた記事によると、5月にβ版の導入を行い、140万回のコードスキャンを実施し、リモートコード実行(RCE)、SQLインジェクション、クロスサイトスクリプティング(XSS)の脆弱性を含む20,000を超えるセキュリティの問題を発見したと報告されています。

Github Code Scanning機能は、パブリックリポジトリでは無料で使うことができ、Github Enterpriseでは、GithubAdvancedSecurityの機能として利用することができるとのこと。すぐに使えて、140万回のスキャン実績、2万を超える脆弱性検知の実績は、プログラマーにとって多くの利益を与えてくれる機能になります。

Github Code Scanningで、検出可能な言語

2020年10月1日現在、検出可能な言語は以下の通りです。

  • C/C++
  • C#
  • Go
  • Java
  • JavaScript/TypeScript
  • Python

Go と JavaScript/TypeScript に対応しているのが嬉しいです^^

関連リンク

Github Docs – コードスキャンを設定する

OASIS Static Analysis Results Interchange Format (SARIF) TC