GitHub laat code automatisch scannen op kwetsbaarheden met 'default setup'

GitHub gaat het mogelijk maken bepaalde repository's automatisch te scannen op kwetsbaarheden. Met 'default setup' kunnen programmeurs direct in Python-, JavaScript- en Ruby-repo's zien of er mogelijke zwakheden in hun code zitten.

Default setup maakt het volgens GitHub mogelijk om codescanning automatisch aan te zetten, in plaats van dat dat achteraf per repo moet worden opgezet via een yaml-configuratiebestand. De functie is per direct beschikbaar vanuit het instellingenmenu, waar ook andere codescans en -analyses kunnen worden ingeschakeld.

Gebruikers kunnen met de nieuwe optie de CodeQL-analyse die GitHub al aanbiedt, uitbreiden naar 'standaard'. Dat betekent dat alle publieke repo's van een gebruiker direct worden geanalyseerd volgens dezelfde CodeQL-analyse. Het blijft daarnaast mogelijk om de instellingen te wijzigen via yaml.

Voorlopig is de feature alleen in te zetten voor Python, JavaScript en Ruby. In de toekomst wil GitHub alle andere talen toevoegen die ook in CodeQL werken. Dat gebeurt in het komende half jaar, op basis van populariteit van de programmeertaal en van hoe makkelijk de feature kan worden omgebouwd voor die talen, schrijft GitHub.

De functie is gratis te gebruiken voor alle publieke repository's, maar voor private repo's moet een Advanced Security- of een Enterprise-pakket worden afgesloten.

GitHub implementeerde CodeQL-analyse in 2019 nadat het platform Semmle had overgenomen. Een jaar later werd codescanning algemeen beschikbaar voor alle publieke repo's. Onlangs bracht GitHub een feature uit die het Dependabot noemt. Die scant repo's op de aanwezigheid van tokens en keys.

GitHub default setup

Door Tijs Hofmans

Nieuwscoördinator

Feedback • 10-01-2023 09:41 18

10-01-2023 • 09:41

18

Lees meer

GitHub repareert automatisch kwetsbaarheden in code met AI-tool
GitHub repareert automatisch kwetsbaarheden in code met AI-tool Nieuws van 21 maart 2024
GitHub maakt nieuwe codezoekmachine op basis van Rust algemeen beschikbaar
GitHub maakt nieuwe codezoekmachine op basis van Rust algemeen beschikbaar Nieuws van 9 mei 2023
GitHub roteert ssh-sleutel nadat private key per ongeluk openbaar verscheen
GitHub roteert ssh-sleutel nadat private key per ongeluk openbaar verscheen Nieuws van 24 maart 2023
Valve liet JavaScript-kwetsbaarheid 15 maanden lang in Dota 2 zitten
Valve liet JavaScript-kwetsbaarheid 15 maanden lang in Dota 2 zitten Nieuws van 10 februari 2023
GitHub ontslaat 10 procent van personeelsbestand
GitHub ontslaat 10 procent van personeelsbestand Nieuws van 10 februari 2023
Microsofts AI-model Vall-E kan stemgeluid imiteren met sample van drie seconden
Microsofts AI-model Vall-E kan stemgeluid imiteren met sample van drie seconden Nieuws van 9 januari 2023
Google stelt tool die delen van video's kan blurren beschikbaar als open source
Google stelt tool die delen van video's kan blurren beschikbaar als open source Nieuws van 23 december 2022
Hackers stelen broncode van Okta via GitHub-repository's
Hackers stelen broncode van Okta via GitHub-repository's Nieuws van 22 december 2022
GitHub verplicht vanaf 2023 tweefactorauthenticatie voor alle actieve gebruikers
GitHub verplicht vanaf 2023 tweefactorauthenticatie voor alle actieve gebruikers Nieuws van 15 december 2022
GitHub experimenteert met spraakassistent in GitHub Copilot
GitHub experimenteert met spraakassistent in GitHub Copilot Nieuws van 10 november 2022
Meer producten en artikelen
Software development Github

Reacties (18)

-Moderatie-faq
18
18
17
1
0
0
Wijzig sortering
Jimbolino 10 januari 2023 10:28
dependabot is voor het updaten van dependencies, niet voor het scannen naar secrets
CH4OS @Jimbolino10 januari 2023 12:00
Als toevoeging hierop:
Automated dependency updates built into GitHub
Bron: https://github.com/dependabot
@TijsZonderH
IIIIIIIIIIII 10 januari 2023 09:56
Wat is eigenlijk het verdienmodel van Github? Reclames?
the_stickie @IIIIIIIIIIII10 januari 2023 10:14
Kort gezegd: als je je code 'private' wil houden, maar toch geavanceerdere functies wil gebruiken, moet je betalen.
Afaik is Github een best populair platform waar heel wat bedrijven voor betalen.
KingLeaf @the_stickie10 januari 2023 11:24
Je kan al 3 jaar lang private repos maken als gratis gebruiker:
https://github.blog/2019-01-07-new-year-new-github/
eXtreaL @KingLeaf10 januari 2023 13:25
Vandaar dat hij ook het gebruiken van geavanceerdere functies benadrukt. Je kan Github gratis gebruiken (ook met private repo's), dit is vaak voldoende voor een gemiddeld hobby project of klein professioneel project. Echter als je kijkt naar de benodigdheden van enterprise-level bedrijven zoals user provisioning vanuit een IDP, grootschalig CI/CD gebruik dmv Github Actions en de support/SLA die daar aan vast hangt loopt het al snel aardig in de kosten. https://github.com/pricing
taway69 @IIIIIIIIIIII10 januari 2023 10:20
Geen reclames. Subscriptions voor power users. Neem aan dat, zoals meestal het geval, het grootste deel van het inkomen van bedrijven komt. De standaard Enterprise subscription is ~250$ per user per jaar en daar zitten nog beperkingen aan, dus de grotere bedrijven kopen waarschijnlijk nog duurdere custom subscriptions.

edit:
As part of its earnings call, Microsoft today announced a number of new data points for GitHub, the massively popular code repository service it acquired for $7.5 billion in 2018. According to Microsoft, GitHub now has an annual recurring revenue of $1 billion, up from a reported $200 to $300 million at the time of the acquisition.

The company also announced that the service now has over 90 million active users on the platform, up from 28 million when the acquisition closed and 73 million last November, when Thomas Dohmke replaced Nat Friedman as the service’s CEO.
---
GitHub’s revenue comes 50% from GitHub Enterprise which is offered as an on-premise or cloud service. All paying subscribers have access to unlimited public repositories, unlimited private repositories, 24×7 support team, and user permissions. The Enterprise plan also allows companies to keep their code private. 37% of revenue is generated from their organization plan and 13% from their personal plan where it charges developers a subscription fee of $7 per month; the organizational plan at a fee of $9 per user per month.

[Reactie gewijzigd door taway69 op 2 augustus 2024 00:56]

ToAoM @taway6910 januari 2023 11:04
GitHub is ook een weg voor Microsoft om gebruik van Azure te stimuleren. Verdekter dan dat ze dat met Azure DevOps doen, maar toch. GitHub support Azure Active Directory en er is veel lesmateriaal beschikbaar op mslearn over hoe je van GitHub naar Azure kan publiceren.

Daarnaast gebruikt GitHub een deel van de open-source data om oa GitHub Copilot te trainen, wat het vervolgens weer doorverkoopt aan gebruikers via een subscription. Zonder die data was Copilot een stuk minder intelligent.

En waar enterprises betalen voor diensten als Dependabot, wordt de compatibility data die dependabot weergeeft grotendeels gevoed door de gratis versie.
luukvkop @IIIIIIIIIIII10 januari 2023 09:58
Voor zover ik weet hebben ze betaalde (zakelijke) accounts en krijgen ze een percentage van de aankopen op het platform.
The Zep Man
@IIIIIIIIIIII10 januari 2023 09:58
Betaalde abonnementen met meer dienstverlening. De gratis versie zullen ze waarschijnlijk blijven aanbieden omdat het meer oplevert (iedereen kent het merk en de tooling) dan dat het kost.

Zie ook het artikel:
De functie is gratis te gebruiken voor alle publieke repository's, maar voor private repo's moet een Advanced Security- of een Enterprise-pakket worden afgesloten.

[Reactie gewijzigd door The Zep Man op 2 augustus 2024 00:56]

MeMoRy @IIIIIIIIIIII10 januari 2023 11:00
Naast de genoemde dingen heeft GitHub de publieke code in hun repos ("onze" code) gebruikt om hun CoPilot AI te trainen. Licenties daarop kosten nu $10 (privé) $19 (business) per maand, maar zullen vast omhoog gaan als het succesvol blijkt.

[Reactie gewijzigd door MeMoRy op 2 augustus 2024 00:56]

MrMonkE @IIIIIIIIIIII10 januari 2023 12:27
Heel HEEL HEEEEL veel broncode en issues om je AI op te trainen.
Met volledige git history!
Verwijderd @IIIIIIIIIIII10 januari 2023 16:01
Wat is eigenlijk het verdienmodel van Github? Reclames?
Superslecht dat je wordt ge-downvote gezien het een heel goede vraag is. Er is immers een 'free tier' dus hoe zit dat?

Zeker met de komst van Github co-pilot en de vraagtekens waar Microsoft de 'input' van deze AI vandaan haalt...
https://techcrunch.com/20...following-copilot-launch/
Vincentio 10 januari 2023 10:58
De functie is gratis te gebruiken voor alle publieke repository's, maar voor private repo's moet een Advanced Security- of een Enterprise-pakket worden afgesloten.
Het is niet "of". Je hebt een Enterprise pakket met Advanced Security nodig. Dat is een redelijk duur pakket dat nog eens extra aangeschaft mag worden.
readefries @Vincentio10 januari 2023 12:30
Nee, idd. Ook voor publieke Repos onder een Enterprise licentie is het gratis. Alleen voor private repos heb je een licentie nodig
darknessblade 10 januari 2023 15:18
En wat als je een stukje code hebt dat automatisch windows S mode uitschakelt zonder Microsoft account?

Wordt dit dan verwijderd omdat het "Onveilig" is.

Want ik verwacht dat ze dit hiervoor later gaan inzetten, waarbij gebruikers al gewend zijn dat github al erop scant, en later de code automatisch zal verwijderen zonder User-Input
TheBoneJarmer @darknessblade10 januari 2023 15:58
Dan verwacht ik eerlijk gezegd dat gebruikers gewoon overstappen naar een alternatief zoals GitLab, als ze dat tegen dan nog niet gedaan hebben.
TheBoneJarmer 10 januari 2023 16:05
Eerlijk gezegd vind ik dit nog zo'n slecht plan niet. De hoeveelheid public repositories waar bijv. private keys of passwords of andere secrets hardcoded in zijn verwerkt ligt schandalig hoog. Zoek maar eens op GitHub naar commits met een message dat de woorden "removed password" of "removed token" bevat.

Op dit item kan niet meer gereageerd worden.

Apple iPhone 16e LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq