GitHub添加了CodeQL扫描以查找安全漏洞



GitHub已使其CodeQL代码扫描服务普遍可用。基于从Semmle获得的语义代码分析技术,现在可以在用户的​​公共存储库中启用CodeQL,以发现其代码库中的安全漏洞。 CodeQL旨在默认情况下仅运行可操作的安全规则,以帮助开发人员始终专注于手头的任务,而不会因掉毛建议而感到不知所措。
CodeQL与GitHub Actions CI / CD平台或用户的其他CI / CD集成环境。在创建代码时会对其进行扫描,同时在拉取请求和其他GitHub体验中出现可操作的安全性审查。此过程旨在确保漏洞永远不会进入生产。
开发人员可以利用GitHub和整个社区创建的2,000多个CodeQL查询,或者构建自定义查询来解决新的安全问题。 CodeQL代码扫描基于SARIF标准构建,并且可扩展,因此开发人员可以在相同的GitHub原生体验中包含开源和商业静态应用程序安全性测试解决方案。可以集成第三方扫描引擎,以通过单个界面查看来自所有开发人员安全工具的结果。
可以通过单个API导出多个扫描结果。 公共存储库免费提供CodeQL扫描。对于私有存储库,CodeQL可通过GitHub Advanced Security用于收费的GitHub Enterprise服务。
GitHub表示,自5月份发布该服务的第一个beta版本以来,CodeQL已扫描了12,000个存储库140万次,发现了超过20,000个安全性这些问题包括远程执行代码,SQL注入和跨站点脚本漏洞。 版权所有©2020 IDG Communications,Inc.
紧贴InfoWorld的新闻通讯,以了解软件开发人员,分析师,数据库程序员和数据科学家的情况。 从我们仅限会员的内幕文章中获取专家见解。.

Yorumlar

Yorum Gönder

Bu blogdaki popüler yayınlar

只需50美元即可训练成为一名熟练的Python编码器

Resim
Python是世界上使用最广泛的编码语言之一。而且,好消息是,它并不是很难学习的,尤其是对于那些使用其他平台的人。如果您想对该语言进行介绍,而又希望避免接受传统的大学教育,请尝试使用2020完整Python编程认证捆绑包。 该软件包包含价值$ 2,385的专家指导培训,对于想要使用Python编程语言进行速成课程但希望按照自己的条件学习它的任何人来说,它都是理想的选择。它包括12门课程,向学生介绍基础知识,还说明了如何在从自动化到数据挖掘再到区块链的各种应用程序中使用该语言。 这些课程在线提供,因此您可以随时随地学习,全天候24/7。只需使用台式计算机或移动设备从任何地方登录即可。而且,由于您将终生享受内容的访问权限,因此不必着急完成它们。 这可能是获得培训的最轻松方式,可以对您的职业生活产生重大影响。毕竟,Python一如既往地受欢迎,并且这种趋势预计不会很快改变。 通过面向读者的“完整2020 Python编程认证捆绑包”,您可以发现自己的才能,价格仅为49.99美元。 完整的2020年Python编程认证套件-49美元。 99 查看交易 价格随时可能更改。 这个故事“火车只需50美元即可成为一名熟练的Python程序员” 计算机世界。 版权所有©2020 IDG Communications,Inc. 紧贴InfoWorld的新闻通讯,以了解软件开发人员,分析师,数据库程序员和数据科学家的情况。 从我们仅限会员的内幕文章中获取专家见解。.
Devamı

DataStax 使 Astra 流媒体服务普遍可用

Resim
在为其 AstraDB NoSQL 数据库即服务添加低延迟更改数据捕获 (CDC) 功能仅几个月后,DataStax 周三表示,它正在使其托管的 Astra Streaming 服务普遍可用。 Astra Streaming 建立在开源 Apache Pulsar 项目之上,内置 API 级支持,支持其他流媒体和消息传递平台,如 Apache Kafka、RabbitMQ 和 Java 消息服务 (JMS),Patrick McFadin 说,开发者关系副总裁数据税。 Pulsar 最初由 Yahoo 构建,现已成为与 Apache Kafka 竞争的开源事件流工具,后者实时处理和交付数据库更改,并将结果分发到企业选择的登陆区域。 该公司表示,借助 Astra Streaming,DataStax 希望帮助企业应对成为云原生的挑战,并在现有基础设施周围寻找效率。 “我们不想告诉企业从头开始重写他们的应用程序只是为了使用一些新技术,这就是为什么我们在开源 Pulsar 上构建 Astra Streaming 并集成了对其他流行的流媒体和消息传递服务的支持,例如 Kafka ”麦克法丁说。 DataStax 产品管理副总裁 Chris Latimer 表示,Astra Streaming 采用即用即付定价结构并支持多云环境,预计其拥有成本将低于其他消息传递和流媒体服务。< br> “我们发现,虽然组织喜欢 Kafka API,但他们对其庞大的架构和使 Kafka 企业就绪所需的高昂许可成本越来越感到沮丧,”Latimer 说。 随着企业寻求抵消大流行和其他地缘政治情景的负面影响,对实时交互式应用程序的需求不断增长,这反过来又提出了实时数据流的案例以及对 Astra 等服务的需求流媒体。 “业务是实时发生的,持续处理数据流对于企业优化决策、行动和体验至关重要。 流数据可以改变游戏规则,让公司做出预测性业务决策并获得竞争优势,”Amy Machado 说,IDC 研究总监。 Ventana Research 研究总监 Matt Aslett 表示,新托管流媒体服务的推出有助于消除企业数据孤岛并支持现代数据应用程序,从而增加开发人员采用的机会。 “托管服务通过减少对前期基础架构配置和持续运营管理和监控的需求,促进了开发人员的采用,”Asle
Devamı

TypeScript 4.1 Beta带来了模板文字类型

Resim
TypeScript 4.1是对Microsoft流行的开源语言的计划升级,已向JavaScript添加类型,现已作为Beta版提供,它具有模板文字类型和许多其他改进。 模板文字类型与JavaScript中的模板文字字符串具有相同的语法,不同之处在于它在类型位置中使用。 当与具体文字类型一起使用时,通过串联内容会产生新的字符串文字类型。 9月18日发布的TypeScript 4.1 beta版还允许开发人员使用新的as子句重新映射映射类型中的键。 此新子句允许开发人员利用模板文字类型之类的功能在旧属性的基础上创建新的属性名称。可以通过不生成键来过滤键,从而使开发人员在某些情况下不必使用额外的Omit助手类型。 TypeScript 4 1的候选版本将于10月发布。当前的主要版本TypeScript 4.0于8月发布。 TypeScript 4.1的其他功能包括: 借助递归条件类型功能,可以减轻对条件类型的某些限制,这些条件类型现在可以在其分支中立即引用自己,从而更容易编写递归类型别名。 Microsoft警告:应以负责任的态度谨慎使用递归类型。 一个新的标志--noUncheckedIndexedAccess提供了一个节点,其中每个属性访问或索引访问都被认为可能是未定义的。该标志可以捕获越界错误,但对于很多代码而言可能会很嘈杂。 --strict标志不会自动启用它。 可以在没有baseUrl的情况下使用paths选项,以避免自动导入使用不良路径的问题。 现在,checkJs隐含了allowJs,从而解决了启动已检查的JavaScript项目同时需要allowJs和checkJs的情况,这会引起冲突。 通过两个新的jsxcode编译器选项react-jsx和react-jsxdev选项,支持React 17框架的jsxcode和jsxscode工厂功能。 JSDoc标记@see现在在JavaScript和TypeScript的编辑器中具有更好的支持。 在重大更改中,标记为抽象的成员不能再标记为异步。在另一个重大更改中,Promise中不再提供resolve参数。 可以通过NuGet或NPM访问TypeScript 4.1 beta: npm安装typescript @ beta 版权所有©2020 IDG Communicatio
Devamı