GitHub maakt codescanner gratis
Elke softwareontwikkelaar heeft al van GitHub gehoord. Heel wat ontwikkelaars maken dan ook dankbaar gebruik van de – gratis – service om hun code op te hosten en bewaren. GitHub heeft echter ook een aantal betalende functies, waaronder ‘GitHub Advanced Security’. Hierin zit onder andere een tool die code scant en controleert op gevoelige informatie zoals wachtwoorden en veiligheidssleutels.
Elke programmeur weet dat het een slecht idee is om veiligheidssleutels te ‘hardcoden’. In plaats van veiligheidssleutels te copy-pasten, is het een standaardpraktijk om de sleutels zo goed mogelijk verborgen te houden. Op die manier kan niemand, zelfs wie de code kan inlezen niet, gebruik maken van de persoonlijke en gevoelige gegevens. Toch sluipt er af en toe een gebruikersnaam, paswoord of veiligheidssleutel in de code.
Daarvoor komt GitHub nu met een oplossing: de tool waarmee je code kan scannen, wordt namelijk algemeen beschikbaar – en dat volledig gratis. Om een idee te geven van wat de tool al heeft weten voorkomen: in 2022 zouden meer dan 1,7 miljoen veiligheidsrisico’s vermeden zijn met de scans, en dat op een moment dat enkel betalende gebruikers toegang hadden tot de dienst.
Programmeurs kunnen profiteren van de tool door een instelling in hun GitHub-profiel aan te passen. Tussen de veiligheidsinstellingen staat daar de optie om je code te laten uitlezen. Sluipt er dan ergens gevoelige informatie in je code? Dan geeft GitHub je daar zelf een melding van, zodat je de code kan aanpassen. De functie is op dit moment nog niet voor iedereen toegankelijk, maar wordt gradueel uitgerold. Tegen eind januari 2023 zou de functie voor iedereen gratis beschikbaar moeten zijn.
De scantool werkt op dit moment met meer dan 200 formaten voor allerlei security tokens. Het is echter ook mogelijk om eigen regex-patronen in te stellen, zodat je zelf meer nauwkeurige filters kan instellen.