• IT-Karriere:
  • Services:

CodeQL: Github erweitert Sicherheitscode-Scanning

Tools von Drittanbietern stehen jetzt als Actions bereit.

Artikel veröffentlicht am , Boris Mayer
Sicherheit im Code wird oft zu wenig getestet.
Sicherheit im Code wird oft zu wenig getestet. (Bild: Flickr/CC-BY-SA 2.0)

Im Rahmen des Versprechens, mehr Möglichkeiten und Features des Github-internen Sicherheits-Ökosystems mit den Nutzern zu teilen, können auf Github nun einige Tools der statischen Codeanalyse als Actions dem eigenen Projekt hinzugefügt werden. Sie durchforsten dann den Quellcode nach sicherheitsproblematischen Stellen.

Stellenmarkt
  1. energy & meteo systems GmbH, Oldenburg
  2. Hoist Finance AB (publ) Niederlassung Deutschland, Duisburg

Ermöglicht wird dies durch Githubs static scanning engine CodeQL, die vor einigen Tagen vorgestellt worden ist. Die als Actions bezeichneten Programme von Drittanbietern erweitern die Funktionalität nun durch simples Hinzufügen in die Konfiguration. Die Reports dieser Tools werden von den Applikationen dann an einen Endpoint der Code Scanning API von Github im offenen Standard Static Analysis Results Interchange Format (SARIF) zurückgemeldet.

Die angebotenen Tools sind Checkmarx, Codacy, CodeScan, DefenseCode Thunderscan, Fortify on Demand, Muse, Secure Code Warrior, Synopsys Intelligent Security Scan, Veracode Static Analysis sowie Xanitizer und stehen alle im Marketplace zur Verfügung.

Je nach eigenem Projekt kann der Einsatz eines oder mehrerer dieser Tools sehr sinnvoll sein, weil sie sehr unterschiedliche Schwerpunkte setzen. Das Ausführen wird auf events getriggert, Github aggregiert die Ergebnisse dann als Alerts im entsprechenden Tab. Diese Ergebnisse helfen nicht nur dem Code selbst, auch die jeweiligen Entwickler können daraus viel lernen.

Golem Akademie
  1. OpenShift Installation & Administration
    14.-16. Juni 2021, online
  2. Einführung in die Programmierung mit Rust
    21.-24. September 2021, online
Weitere IT-Trainings

Statische Code-Analyse prüft Quellcode und trägt so zur Verbesserung von Software bei. Potenzielle Bugs können frühzeitig gefunden werden. Ganz besonders wichtig ist dies bei sicherheitsrelevanten Codes, da QA-Tests normalerweise keine versuchten Hackingangriffe beinhalten und damit selten auf Herz und Nieren geprüft werden. Github hatte vor einigen Monaten bereits das Linten nach Schwachstellen im Code einfach benutzbar gemacht, nun kommt Analyse nach Sicherheitsaspekten hinzu.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Anzeige
Top-Angebote
  1. 189,90€ (Vergleichspreis 230,16€)
  2. 111€ (Vergleichspreis 198,17€)
  3. 34,99€ inkl. Versand (Vergleichspreis 55€)
  4. 29,74€ (Vergleichspreis 43,85€)

Folgen Sie uns
       


Mini-PCs von Asus, Apple und Zotac im Test - Fazit

Wir haben uns den Mac Mini und zwei Alternativen von Asus und Zotac angesehen. Es ist interessant, wie leistungsfähig die Kontrahenten sind.

Mini-PCs von Asus, Apple und Zotac im Test - Fazit Video aufrufen
Programm für IT-Jobeinstieg: Hoffen auf den Klebeeffekt
Programm für IT-Jobeinstieg
Hoffen auf den Klebeeffekt

Aktuell ist der Jobeinstieg für junge Ingenieure und Informatiker schwer. Um ihnen zu helfen, hat das Land Baden-Württemberg eine interessante Idee: Es macht sich selbst zur Zeitarbeitsfirma.
Ein Bericht von Peter Ilg

  1. Arbeitszeit Das Sechs-Stunden-Experiment bei Sipgate
  2. Neuorientierung im IT-Job Endlich mal machen!
  3. IT-Unternehmen Die richtige Software für ein Projekt finden

Weclapp-CTO Ertan Özdil: Wir dürfen nicht in Schönheit und Perfektion untergehen!
Weclapp-CTO Ertan Özdil
"Wir dürfen nicht in Schönheit und Perfektion untergehen!"

Der CTO von Weclapp träumt von smarter Software, die menschliches Eingreifen in der nächsten ERP-Generation reduziert. Deutschen Perfektionismus hält Ertan Özdil aber für gefährlich.
Ein Interview von Maja Hoock


    Fiat 500 als E-Auto im Test: Kleinstwagen mit großem Potenzial
    Fiat 500 als E-Auto im Test
    Kleinstwagen mit großem Potenzial

    Fiat hat einen neuen 500er entwickelt. Der Kleine fährt elektrisch - und zwar richtig gut.
    Ein Test von Peter Ilg

    1. Vierradlenkung Elektrischer GMC Hummer SUV fährt im Krabbengang seitwärts
    2. MG Cyberster MG B Roadster mit Lasergürtel und Union Jack
    3. Elektroauto E-Auto-Prämie übersteigt in 2021 schon Vorjahressumme

      •  /