GitHub udostępnia bezpłatny analizator kodu

Znana platforma deweloperska GitHub zdecydowała się udostępnić bezpłatnie wszystkim korzystającym z jej usług użytkownikom, którzy są zainteresowani analizowaniem aplikacji bazujących na otwartym kodzie, narzędzie noszące nazwę CodeQL.

CodeQL to analizator odczytujący kod aplikacji i badający go tak jakby to były dane. Narzędzie to jest wykorzystywane przez programistów do wyszukania w kodzie aplikacji błędów. Aby to zrobić należy sformułować zapytania analizujące kod, jak również udostępniać je innym użytkownikom korzystającym z usług platformy GitHub.

Deweloper może np. zbudować program/zapytanie imitujące atak typu „cross-site scripting”, które sprawdza czy analizowany kod nie zawiera podatności, dzięki którym atak taki może się zakończyć powodzeniem.

Zobacz również:

Ważna cechą narzędzia CodeQL jest też to, że jest w stanie wykrywać w aplikacjach luki typu „zero-day”, czyli takie o których sam twórca aplikacji nie wie iż istnieją. Może też identyfikować inne podatności, takie jak t umożliwiające przeprowadzanie ataków typu „buffer overflows” czy „SQL injection”.

Narzędzie CodeQL zostało opracowany kilka lat temu przez firmę Semmle, którą GitHub przejął we wrześniu tego roku. Jest ono obecnie nadal oferowane deweloperom na zasadach komercyjnych.

Z możliwościami narzędzia CodeQL można się zapoznać tutaj.


TOP 200