• IT-Karriere:
  • Services:

CodeQL: Github erweitert Sicherheitscode-Scanning

Tools von Drittanbietern stehen jetzt als Actions bereit.

Artikel veröffentlicht am , Boris Mayer
Sicherheit im Code wird oft zu wenig getestet.
Sicherheit im Code wird oft zu wenig getestet. (Bild: Flickr/CC-BY-SA 2.0)

Im Rahmen des Versprechens, mehr Möglichkeiten und Features des Github-internen Sicherheits-Ökosystems mit den Nutzern zu teilen, können auf Github nun einige Tools der statischen Codeanalyse als Actions dem eigenen Projekt hinzugefügt werden. Sie durchforsten dann den Quellcode nach sicherheitsproblematischen Stellen.

Stellenmarkt
  1. GESTRA AG, Bremen
  2. ESG Elektroniksystem- und Logistik-GmbH, Fürstenfeldbruck

Ermöglicht wird dies durch Githubs static scanning engine CodeQL, die vor einigen Tagen vorgestellt worden ist. Die als Actions bezeichneten Programme von Drittanbietern erweitern die Funktionalität nun durch simples Hinzufügen in die Konfiguration. Die Reports dieser Tools werden von den Applikationen dann an einen Endpoint der Code Scanning API von Github im offenen Standard Static Analysis Results Interchange Format (SARIF) zurückgemeldet.

Die angebotenen Tools sind Checkmarx, Codacy, CodeScan, DefenseCode Thunderscan, Fortify on Demand, Muse, Secure Code Warrior, Synopsys Intelligent Security Scan, Veracode Static Analysis sowie Xanitizer und stehen alle im Marketplace zur Verfügung.

Je nach eigenem Projekt kann der Einsatz eines oder mehrerer dieser Tools sehr sinnvoll sein, weil sie sehr unterschiedliche Schwerpunkte setzen. Das Ausführen wird auf events getriggert, Github aggregiert die Ergebnisse dann als Alerts im entsprechenden Tab. Diese Ergebnisse helfen nicht nur dem Code selbst, auch die jeweiligen Entwickler können daraus viel lernen.

Statische Code-Analyse prüft Quellcode und trägt so zur Verbesserung von Software bei. Potenzielle Bugs können frühzeitig gefunden werden. Ganz besonders wichtig ist dies bei sicherheitsrelevanten Codes, da QA-Tests normalerweise keine versuchten Hackingangriffe beinhalten und damit selten auf Herz und Nieren geprüft werden. Github hatte vor einigen Monaten bereits das Linten nach Schwachstellen im Code einfach benutzbar gemacht, nun kommt Analyse nach Sicherheitsaspekten hinzu.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Anzeige
Mobile-Angebote
  1. 689€ (mit Rabattcode "PRIMA10" - Bestpreis!)
  2. 634,90€ (Bestpreis!)
  3. 369,99€ (Bestpreis!)
  4. 206,10€ (mit Rabattcode "PFIFFIGER" - Bestpreis!)

Folgen Sie uns
       


ANC-Kopfhörer im Vergleich

Wir haben Sonys neuen WH-1000XM4 bei der ANC-Leistung gegen Sonys alten WH-1000XM3 und Boses Noise Cancelling Headphones 700 antreten lassen.

ANC-Kopfhörer im Vergleich Video aufrufen
Differential Privacy: Es bleibt undurchsichtig
Differential Privacy
Es bleibt undurchsichtig

Mit Differential Privacy soll die Privatsphäre von Menschen geschützt werden, obwohl jede Menge persönlicher Daten verarbeitet werden. Häufig sagen Unternehmen aber nicht, wie genau sie das machen.
Von Anna Biselli

  1. Strafverfolgung Google rückt IP-Adressen von Suchanfragen heraus
  2. Datenschutz Millionenbußgeld gegen H&M wegen Ausspähung in Callcenter
  3. Personenkennziffer Bundestagsgutachten zweifelt an Verfassungsmäßigkeit

Tutorial: Was ein On Screen Display alles kann
Tutorial
Was ein On Screen Display alles kann

Werkzeugkasten Viele PC-Spieler schwören auf ein OSD. Denn damit lassen sich Limits erkennen, die Bildqualität verbessern und Ruckler verringern.
Von Marc Sauter


    Serien & Filme: Star Wars - worauf wir uns freuen können
    Serien & Filme
    Star Wars - worauf wir uns freuen können

    Lange sah es so aus, als liege die Zukunft von Star Wars überwiegend im Kino. Seit dem Debüt von Disney+ und dem teils schlechten Abschneiden der neuen Filme hat sich das geändert.
    Von Peter Osteried

    1. Star Wars Disney und Lego legen Star Wars Holiday Special neu auf
    2. Star Wars Squadrons im Test Die helle und dunkle Seite der Macht
    3. Disney+ Erster Staffel-2-Trailer von The Mandalorian ist da

      •  /