CodeQL: Github erweitert Sicherheitscode-Scanning

Im Rahmen des Versprechens, mehr Möglichkeiten und Features des Github-internen Sicherheits-Ökosystems mit den Nutzern zu teilen, können auf Github nun einige Tools der statischen Codeanalyse als Actions dem eigenen Projekt hinzugefügt werden. Sie durchforsten dann den Quellcode nach sicherheitsproblematischen Stellen.

Ermöglicht wird dies durch Githubs static scanning engine CodeQL, die vor einigen Tagen vorgestellt worden ist. Die als Actions bezeichneten Programme von Drittanbietern erweitern die Funktionalität nun durch simples Hinzufügen in die Konfiguration. Die Reports dieser Tools werden von den Applikationen dann an einen Endpoint der Code Scanning API von Github im offenen Standard Static Analysis Results Interchange Format (SARIF) zurückgemeldet.

Die angebotenen Tools sind Checkmarx, Codacy, CodeScan, DefenseCode Thunderscan, Fortify on Demand, Muse, Secure Code Warrior, Synopsys Intelligent Security Scan, Veracode Static Analysis sowie Xanitizer und stehen alle im Marketplace zur Verfügung.

Je nach eigenem Projekt kann der Einsatz eines oder mehrerer dieser Tools sehr sinnvoll sein, weil sie sehr unterschiedliche Schwerpunkte setzen. Das Ausführen wird auf events getriggert, Github aggregiert die Ergebnisse dann als Alerts im entsprechenden Tab. Diese Ergebnisse helfen nicht nur dem Code selbst, auch die jeweiligen Entwickler können daraus viel lernen.

Statische Code-Analyse prüft Quellcode und trägt so zur Verbesserung von Software bei. Potenzielle Bugs können frühzeitig gefunden werden. Ganz besonders wichtig ist dies bei sicherheitsrelevanten Codes, da QA-Tests normalerweise keine versuchten Hackingangriffe beinhalten und damit selten auf Herz und Nieren geprüft werden. Github hatte vor einigen Monaten bereits das Linten nach Schwachstellen im Code einfach benutzbar gemacht, nun kommt Analyse nach Sicherheitsaspekten hinzu.