タグ検索の該当結果が少ないため、タイトル検索結果を表示しています。
Githubの新しいセキュリティ機能 CodeQLを使ってみる - Security Index
CodeQLは、Semmleが提供しているコードセマンティック解析に使用するツールで、脆弱性やコードの品質の可視化を行うことができます。 2019年9月18日にGithubがCodeQLを開発しているSemmleを買収し、現在「GitHub Code Scanning」(リミテッドベータ)として利用することができるようになりました。 Welcoming Semmle to GitHub - The GitHub Blog GitHub、コードの脆弱性を発見してくれる「GitHub Code Scanning」発表、修正方法のアドバイスも。GitHub Satellite 2020 - Publickey 現在でもSemmleのLGTMからCodeQLを利用することができます。 CodeQLを少し使ってみたので紹介したいと思います。 CodeQLを使ってみる Github連携 Alert :
GitHubが機能強化のロードマップを公開。今年第3四半期にはCodeQLによるコードスキャン機能の統合、第4四半期にはWeb IDEのCodespacesが正式版予定
GitHubが機能強化のロードマップを公開。今年第3四半期にはCodeQLによるコードスキャン機能の統合、第4四半期にはWeb IDEのCodespacesが正式版予定 GitHubは、同社のサービスやソフトウェアで開発中の機能とその公開時期などを含むロードマップをGitHub上で公開したことを明らかにしました。 We’re excited to announce the GitHub public roadmap, designed to give your team more information about what you can expect from GitHub: https://t.co/KqXf8e7DDC — GitHub (@github) July 28, 2020 公開されているロードマップを見ると、今年の第3四半期にはCodeQLによるコード分析機能の統合やG
今年新卒で入社したfreee PSIRTのhikaeです。 freee Developers Advent Calendar 2023の5日目を担当します。 PSIRT(Product Security Incident Response Team)はインシデント発生の予防、早期検知、早期解決、被害の最小化を通して、freeeのプロダクトを堅牢にし、顧客情報を安全に管理するチームです。そのためfreeeの提供する沢山のプロダクトに関わることとなります。 DevSecOpsムーブメントを進めるにあたって、開発サイドでのシフトレフトを積極的に進めています。 本記事ではシフトレフトの手段の一つ、SASTについて入門記事を書いてみました。 DevSecOps SAST(Static Application Security Testing)とは、ソースコードを解析して実装の不備を検知する仕組みです
CodeQL
CodeQL Discover vulnerabilities across a codebase with CodeQL, our industry-leading semantic code analysis engine. CodeQL lets you query code as though it were data. Write a query to find all variants of a vulnerability, eradicating it forever. Then share your query to help others do the same. CodeQL is free for research and open source. UnsafeDeserialization.ql import TaintTracking::Global<Unsafe
Found means fixed: Introducing code scanning autofix, powered by GitHub Copilot and CodeQL
Starting today, code scanning autofix will be available in public beta for all GitHub Advanced Security customers. Powered by GitHub Copilot and CodeQL, code scanning autofix covers more than 90% of alert types in JavaScript, Typescript, Java, and Python, and delivers code suggestions shown to remediate more than two-thirds of found vulnerabilities with little or no editing. Found means fixed Our
GitHub - github/codeql: CodeQL: the libraries and queries that power security researchers around the world, as well as code scanning in GitHub Advanced Security
You signed in with another tab or window. Reload to refresh your session. You signed out in another tab or window. Reload to refresh your session. You switched accounts on another tab or window. Reload to refresh your session. Dismiss alert
GitHub の Code scanning が GA されましたね。でもプライベートリポジトリには GitHub One を契約しないと使えないようです。なら自前でCodeQLしたるわ! やること CodeQL CLI をインストール starter pack をダウンロード 検査対象のプロジェクト(ソースコード)を用意 CodeQL データベースを作成する CodeQL を実行してクロスサイトスクリプティングの脆弱性を発見する Windows + Powershell の実行例を書いてるけど、他の環境でも同じようにできるはず。たぶん。 CodeQLI CLI をインストール GutHub: CodeQL の Release ページから自分の環境にあったZIPファイルをダウンロードします。ZIPファイルを好きな場所に展開してください。 以下、C:\ql\codeql に展開した前提でコマ
July 28, 2021 The CodeQL package manager is now available in public beta on GitHub.com. CodeQL packages can contain CodeQL queries and CodeQL libraries — and of course you can express dependencies between packs. You can upload your packs to the package registry on GitHub.com, and CodeQL will automatically fetch any required dependencies when running queries from a pack. This makes it simple to cre
CodeQLで遊ぶ ~ ローカル環境で試す『静的アプリケーション・セキュリティ・テスト』 ~ - まったり技術ブログ
はじめに CodeQL とは サポート言語 準備 検証環境の構築 CodeQL CLI の動作確認 (バージョンの表示) 動作確認 CodeQLデータベースの生成 脆弱性の検出 XXE の検査 ~ 検出されることの確認 ~ 検査の実施 ~ CSV形式で出力 ~ 検査の実施 ~ SARIFで出力 ~ RCE の検査 ~ 検出されないことの確認 ~ まとめ 参考 更新履歴 はじめに 本記事でやること。 CodeQL を導入 脆弱なアプリケーションに対してのセキュリティテスト(XXEを検出) 検出結果を見てみる CodeQL とは CodeQL は SAST(Static application security testing) というセキュリティテスト手法を実現するためのツールです。 本ブログで何度か取りあげた GitHub Code Scanning も SAST に属しているセキュリティ
GitHub - github/codeql-action: Actions for running CodeQL analysis
You signed in with another tab or window. Reload to refresh your session. You signed out in another tab or window. Reload to refresh your session. You switched accounts on another tab or window. Reload to refresh your session. Dismiss alert
9月7日、GitHubは「GitHubのコードスキャンで開発者の幸福度を高める」を公開した。 Increasing developer happiness with GitHub code scanning この記事では、GitHubのコードスキャンを活用した例や、コードスキャンのコード解析エンジンであるCodeQLを最大限に活用するための方法を紹介している。 GitHub社内でもCodeQLを活用していて、これにより、簡単にできるのに見つけるのが難しい、厄介なコーディングミスから身を守り、コードの品質を高く保つことができるという。 メモリリークの解消 Goのdeferステートメントは、周囲の関数が戻るまで、関数の実行を延期する。 これは後処理に便利である。例えば、ファイルハンドルのようなリソースを閉じたり、データベースのトランザクションを完了したりする。 既存コードを変更する際に、def
EngineeringSecuritySharing security expertise through CodeQL packs (Part I)Introducing CodeQL packs to help you codify and share your knowledge of vulnerabilities. Congratulations! You’ve discovered a security bug in your own code before anyone has exploited it. It’s a big relief. You’ve created a CodeQL query to find other places where this happens and ensure this will never happen again, and you
GitHub、GitHub CopilotとCodeQLと利用し脆弱性の検出する「Code Scanningの自動修正機能」のパブリックデータ版提供開始
「Code Scanningの自動修正機能」は、JavaScript、TypeScript、Java、Pythonのアラートタイプを90%以上カバーし、検出された脆弱性を編集することなく修正できるコードを提案する。 同機能では、サポート対象言語で脆弱性が検出された場合、修正提案には提案された修正に関する自然言語での説明とコード提案のプレビューが含まれる。開発者はこのコード提案を受け入れて編集、または却下することができる。これらのコード提案には、現行ファイルへの変更に加えて、必要に応じて複数のファイルへの変更、プロジェクトに追加すべき依存関係も含まれる。 GitHub Copiloが開発者を煩雑な反復作業から解放するように、同機能によって、開発チームはこれまで修復に費やしていた時間を削減することができる。さらに、セキュリティチームにとっても、日常的な脆弱性の量が減ることで、加速し続けるソフト
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
CodeQLでつくる誤検知を減らすためのSAST入門 - freee Developers Hub
CodeQLをローカルPCで実行する。ついでにクロスサイトスクリプティングの脆弱性を発見する。 - Qiita
Introducing the CodeQL package manager (public beta)
GitHubのコードスキャンで開発者の幸福度を高める - CodeQLを最大限に活用するための方法
Sharing security expertise through CodeQL packs (Part I)
newsdig.tbs.co.jp
newsdig.tbs.co.jp
www.nhk.or.jp
www.famitsu.com
zenn.dev/vim_jp
enokiina0502.hatenablog.com