GitHub Code Scanning이란?

코드를 스캔하여 숨겨진 취약점을 감지하는 기능입니다.
GitHub Actions에서 실행할 수 있습니다.
오늘 아침 트위터로 알았다.

Code scanning is here! 🎉 Prevent issues in code by automating security as a part of your workflow.✔️ Free for public repositories✔️ Developer-first, GitHub native✔️ Enabled for GitHub Enterprise CloudLearn more! github)

소개

평소 이 목록에서 Security 를 선택합니다.

htps // t. 코 / 2 sCjb09

Security overview 안에 Code scanning alerts가 있지만 Contact sales입니다.

이 기능을 사용하려면 공용 리포지토리여야 합니다.

September 30, 2020

Set up code scanning라는 버튼이 나타났습니다. 이것을 누르십시오.

CodeQL Analysis 의 Set up this workflow 를 누릅니다.

다음과 같이 yml 파일을 써 주므로 오른쪽 상단의 Start commit 로부터 commit 합니다.

workflow에 CodeQL이 추가되었습니다.

취약성 확인

여기에서 Actions를 선택합니다.

CodeQL이 in progress입니다. 실행하는 데 약간의 시간이 걸립니다. Create codeql-analysis.yml 를 클릭하여 자세한 내용을 확인합니다.

다음과 같이 순서대로 작업이 실행 중인지 확인할 수 있습니다.

실행 후 다시 여기에서 보안을 선택합니다.

Code scanning이 다섯 가지 경고를 발행합니다.

무슨 우려가 있는지 알려주세요.

이번에는 regex가 특정 패턴에서는 처리가 지수 함수적으로 무거워져 가는 것을 지적해 DoS 공격을 위한 수단이 될 가능성이 있다고 경고하고 있습니다.

ReDoS라고 한다. 처음 알았다.



위 계속

무슨 뜻인지 모르겠다면 여기를 보면서만 References까지 준비되어 있습니다.

풀 요청

시험에 풀릭을 만들어 보니 자동으로 스캔해 주었다.

느린 스캔이 조금 걱정되지만...

또한 CodeQL이 달리고 있는 도중에도 병합은 할 수 있는 모양.

Learn More

공식 문서입니다.

CodeQL을 CI에 편입하는 것도 가능하다.