必威国际有限公司使用 GithubcodeQL发现Jenkins插件安全漏洞
一个月多前Github宣布通用代码扫描解决方案.基础基础代码QL很容易写查询并使用codeQLGitHub动作、codeQL命令行工具或上网运行lgtm.com.
必威国际有限公司Jenkins插件中发现的许多安全漏洞彼此相似, 不幸的是,这些漏洞通常是Jenkins所特有,这意味着现有通用工具无法发现。必威国际有限公司所以我决定写codeQL查询 Jenkins特题受邀维护者签名插件代码扫描这些问题
今日安全咨询首次包含通过该倡议发现的调查结果所有这些问题都通过此工具发现
和GitHubUI合并后,整体上我对目前结果非常满意 特别是考虑到新创创举
兴趣制作插件你维护更多安全签名方式提交INFRA问题中Github
并列表插件仓库