Github propose désormais aux développeurs que leur code soit scanné au fur et à mesure de sa création et que les éventuelles alertes de détection de vulnérabilités  soient remontées dans les pull requests, avant la mise en production.

Code Scanning est alimenté par CodeQL, un moteur d’analyse qui compte plus de 2000 requêtes de reconnaissance de failles de sécurité, créées par Github et la communauté.

La solution s’intègre à GitHub Actions et à tous les environnements CI/CS. Basé sur la norme SARIF, Code Scanning est extensible afin que les utilisateurs puissent inclure des solutions de test de sécurité des applications statiques (SAST) open sources et commerciales dans une même expérience native GitHub. Il est également possible d’intégrer des moteurs d’analyse tiers pour afficher les résultats de tous les outils de sécurité utilisés dans une seule interface et exporter plusieurs résultats d’analyse via une seule API.

Cette mise à disposition fait suite à la version beta introduite en mai dernier qui a permis de scanner plus de 12 000 dépôts et de détecter plus de 20 000 problèmes dont notamment des exécutions de code à distance (RCE), des injections SQL et des vulnérabilités de cross-scripting (XSS).

Code scanning adopte une approche centrée sur le développeur. Au lieu de submerger l’utilisateur de suggestions, code scanning exécute par défaut uniquement les règles de sécurité qui sont exploitables au sein de la solution. L’utilisateur reste ainsi concentré sur la tâche à accomplir.

GitHub a établi des partenariats avec plus d’une douzaine de fournisseurs de sécurité (professionnels et issus du monde open source).

Code Scanning est gratuit pour les dépôts publics. Il est possible de l’activer sur un dépôt public dès à présent.