Ontwikkelaars hebben niet langer meer een .yaml-bestand nodig om codes te scannen op kwetsbaarheden. GitHub maakt CodeQL-analyse standaard.
GitHub kondigt de aanpassingen aan met een blogpost. Ontwikkelaars kunnen via de instellingen CodeQL-analyse standaard aanzetten voor al hun publieke repositories. Daarmee kan je code laten scannen op potentiële kwetsbaarheden terwijl je er in aan het werken bent, zonder .yaml-confiugratiebestand te hoeven instellen. Op die manier komen achilleshielen sneller aan het licht, zonder de workflow te verstoren.
De automatische codescanning is op dit moment beschikbaar in Python, JavaScript en Ruby, de drie programmeertalen die door de CodeQL-functionaliteit ondersteund worden. GitHub belooft in de komende zes maanden dit uit te breiden voor meer populaire programmeertalen, afhankelijk van hoe eenvoudig de tool kan worden omgebouwd voor een specifieke taal.
De functie wordt gratis aangeboden voor publieke repositories. Wil je ook je private repositories automatisch laten scannen, die je een betalend Advanced Security- of Enterprise-abonnement te nemen.
Aan de slag met CodeQL
In slechts enkele muisklikken laat je CodeQL je codes analyseren. Open het menu Code security en analyse onder de beveiligingssectie in de instellingen van een repository. Onder Code Scanning zal CodeQL-analyse al standaard ingesteld staan als dit beschikbaar is voor je code. Door dit te veranderen naar Advanced kan je nog op de oude manier met .yaml-bestanden blijven werken.
Klik verder op Default en een op maat gemaakte configuratie op basis van de inhoud van je repository zal verschijnen. Deze bevatten onder meer de gedetecteerde programmeertalen in de codes, queries en events dat een scan uitlokken. In de toekomst zal je deze input kunnen aanpassen, maar voorlopig moet je nog vertrouwen op de capaciteiten van CodeQL.
Is de configuratie goedgekeurd, kan je de scan laten starten. De screenshots hieronder tonen stap voor stap het proces.