GitHubは、オンラインイベント「GitHub Satellite 2020」において、コードの脆弱性を発見してくれる新機能「GitHub Code Scanning」を発表しました。

GitHub Code Scanningは、昨年買収したSemmleのソフトウェアを基にした脆弱性解析エンジンである「CodeQL」を用いてコードリポジトリ内のコードを解析します。

コードのプッシュ時に解析を行い、結果がプルリクエストに反映されることで、開発ワークフローのなかで継続的に脆弱性に対するコードの品質を保つことができます。

コードの中に脆弱性が発見された場合、その場所はもちろん、脆弱性の内容などの詳細、推奨される修正方法などまで表示されます。

対応するプログラミング言語は、C、C++、C#、Java、JavaScript、TypeScript、Python、Goの予定。オープンソースのプロジェクトには基本的に無料で提供されるとのこと。

GitHub Code Scanningは、現在リミテッドベータとなっています。
https://www.publickey1.jp/blog/20/githubgithub_code_scanninggithub_satellite_2020.html