CodeQL: Github erweitert Sicherheitscode-Scanning

Tools von Drittanbietern stehen jetzt als Actions bereit.

Artikel veröffentlicht am ,
Sicherheit im Code wird oft zu wenig getestet.
Sicherheit im Code wird oft zu wenig getestet. (Bild: Flickr/CC-BY-SA 2.0)

Im Rahmen des Versprechens, mehr Möglichkeiten und Features des Github-internen Sicherheits-Ökosystems mit den Nutzern zu teilen, können auf Github nun einige Tools der statischen Codeanalyse als Actions dem eigenen Projekt hinzugefügt werden. Sie durchforsten dann den Quellcode nach sicherheitsproblematischen Stellen.

Stellenmarkt
  1. Development Engineer Embedded Software (m/w/d)
    Knorr-Bremse Systeme für Nutzfahrzeuge GmbH, Schwieberdingen bei Stuttgart
  2. Teamleitung IT-Service (m/w/d)
    HANSA Baugenossenschaft eG, Hamburg
Detailsuche

Ermöglicht wird dies durch Githubs static scanning engine CodeQL, die vor einigen Tagen vorgestellt worden ist. Die als Actions bezeichneten Programme von Drittanbietern erweitern die Funktionalität nun durch simples Hinzufügen in die Konfiguration. Die Reports dieser Tools werden von den Applikationen dann an einen Endpoint der Code Scanning API von Github im offenen Standard Static Analysis Results Interchange Format (SARIF) zurückgemeldet.

Die angebotenen Tools sind Checkmarx, Codacy, CodeScan, DefenseCode Thunderscan, Fortify on Demand, Muse, Secure Code Warrior, Synopsys Intelligent Security Scan, Veracode Static Analysis sowie Xanitizer und stehen alle im Marketplace zur Verfügung.

Je nach eigenem Projekt kann der Einsatz eines oder mehrerer dieser Tools sehr sinnvoll sein, weil sie sehr unterschiedliche Schwerpunkte setzen. Das Ausführen wird auf events getriggert, Github aggregiert die Ergebnisse dann als Alerts im entsprechenden Tab. Diese Ergebnisse helfen nicht nur dem Code selbst, auch die jeweiligen Entwickler können daraus viel lernen.

Golem Akademie
  1. Cinema 4D Grundlagen: virtueller Drei-Tage-Workshop
    14.–16. März 2022, Virtuell
  2. Scrum Product Owner: Vorbereitung auf den PSPO I (Scrum.org): virtueller Zwei-Tage-Workshop
    3.–4. März 2022, virtuell
Weitere IT-Trainings

Statische Code-Analyse prüft Quellcode und trägt so zur Verbesserung von Software bei. Potenzielle Bugs können frühzeitig gefunden werden. Ganz besonders wichtig ist dies bei sicherheitsrelevanten Codes, da QA-Tests normalerweise keine versuchten Hackingangriffe beinhalten und damit selten auf Herz und Nieren geprüft werden. Github hatte vor einigen Monaten bereits das Linten nach Schwachstellen im Code einfach benutzbar gemacht, nun kommt Analyse nach Sicherheitsaspekten hinzu.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Aktuell auf der Startseite von Golem.de
Treibstoffe
E-Fuels-Produktion in der Praxis

Über E-Fuels, also aus Ökostrom hergestellte Kraftstoffe, wird viel diskutiert. Real produziert werden sie bislang kaum.
Von Hanno Böck

Treibstoffe: E-Fuels-Produktion in der Praxis
Artikel
  1. Ransomware: Russland nimmt Revil-Mitglieder fest
    Ransomware
    Russland nimmt Revil-Mitglieder fest

    Auf Ersuchen der USA hat Russland Mitglieder und Infrastruktur der Ransomware-Gruppe Revil festgesetzt.

  2. Datenschutz: Bremen und Brandenburg wollen aus Luca-App aussteigen
    Datenschutz
    Bremen und Brandenburg wollen aus Luca-App aussteigen

    Die Luca-App habe in den vergangen Jahren keinen großen Mehrwert gezeigt, heißt es aus Bremen. Unterdessen griff die Polizei auf die Daten der App zu.

  3. Klimaschutz: Verbrennerkauf - warum der Verkehrsminister Recht hat
    Klimaschutz
    Verbrennerkauf - warum der Verkehrsminister Recht hat

    Bundesverkehrsminister Volker Wissing (FDP) warnt vor dem Kauf neuer Autos mit Verbrennungsmotor, weil fossile Brennstoffe keine Lösung sind - auch nicht als E-Fuels.
    Ein IMHO von Andreas Donath

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • MindStar (u.a. WD Blue 3D 1TB 79€, be quiet! Straight Power 11 850W 119€ u. PowerColor RX 6600 Hellhound 529€) • Alternate: Weekend-Deals • HyperX Cloud II Wireless 107,19€ • Cooler Master MH752 54,90€ • Gainward RTX 3080 12GB 1.599€ • Saturn-Hits • 3 für 2: Marvel & Star Wars [Werbung]
    •  /