GitHub เปิดตัวโครงการ GitHub Security Lab เพื่อยกระดับความปลอดภัยของซอฟต์แวร์โอเพนซอร์สบน GitHub โดยโครงการนี้ประกอบด้วย
อีกประเด็นที่น่าสนใจคือ GitHub มีภาษาโปรแกรมชื่อ CodeQL เป็นภาษาคิวรีสำหรับค้นหาช่องโหว่ความปลอดภัยในโค้ด (มองว่าโค้ดเป็นข้อมูลที่คิวรีหาได้) ก่อนหน้านี้ภาษานี้เปิดให้ใช้สำหรับลูกค้าแบบเสียเงินเท่านั้น แต่ล่าสุดคือ GitHub เปิดภาษาให้ใช้ฟรี สำหรับโครงการโอเพนซอร์สและงานด้านวิจัยด้วย
ส่วนขยาย CodeQL บน Visual Studio Code สามารถดาวน์โหลดมาใช้งานได้แล้วเช่นกัน
ตัวอย่างภาษา CodeQL
UnsafeDeserialization.ql
from DataFlow::PathNode source, DataFlow::PathNode sink, UnsafeDeserializationConfig conf
where conf.hasFlowPath(source, sink)
select sink.getNode().(UnsafeDeserializationSink).getMethodAccess(), source, sink, "Unsafe deserialization of $@.", source.getNode(), "user input"
ที่มา - GitHub