• IT-Karriere:
  • Services:

CodeQL: Github erweitert Sicherheitscode-Scanning

Tools von Drittanbietern stehen jetzt als Actions bereit.

Artikel veröffentlicht am , Boris Mayer
Sicherheit im Code wird oft zu wenig getestet.
Sicherheit im Code wird oft zu wenig getestet. (Bild: Flickr/CC-BY-SA 2.0)

Im Rahmen des Versprechens, mehr Möglichkeiten und Features des Github-internen Sicherheits-Ökosystems mit den Nutzern zu teilen, können auf Github nun einige Tools der statischen Codeanalyse als Actions dem eigenen Projekt hinzugefügt werden. Sie durchforsten dann den Quellcode nach sicherheitsproblematischen Stellen.

Stellenmarkt
  1. EnBW Energie Baden-Württemberg AG, Karlsruhe
  2. DAVASO GmbH, Leipzig-Mölkau

Ermöglicht wird dies durch Githubs static scanning engine CodeQL, die vor einigen Tagen vorgestellt worden ist. Die als Actions bezeichneten Programme von Drittanbietern erweitern die Funktionalität nun durch simples Hinzufügen in die Konfiguration. Die Reports dieser Tools werden von den Applikationen dann an einen Endpoint der Code Scanning API von Github im offenen Standard Static Analysis Results Interchange Format (SARIF) zurückgemeldet.

Die angebotenen Tools sind Checkmarx, Codacy, CodeScan, DefenseCode Thunderscan, Fortify on Demand, Muse, Secure Code Warrior, Synopsys Intelligent Security Scan, Veracode Static Analysis sowie Xanitizer und stehen alle im Marketplace zur Verfügung.

Je nach eigenem Projekt kann der Einsatz eines oder mehrerer dieser Tools sehr sinnvoll sein, weil sie sehr unterschiedliche Schwerpunkte setzen. Das Ausführen wird auf events getriggert, Github aggregiert die Ergebnisse dann als Alerts im entsprechenden Tab. Diese Ergebnisse helfen nicht nur dem Code selbst, auch die jeweiligen Entwickler können daraus viel lernen.

Statische Code-Analyse prüft Quellcode und trägt so zur Verbesserung von Software bei. Potenzielle Bugs können frühzeitig gefunden werden. Ganz besonders wichtig ist dies bei sicherheitsrelevanten Codes, da QA-Tests normalerweise keine versuchten Hackingangriffe beinhalten und damit selten auf Herz und Nieren geprüft werden. Github hatte vor einigen Monaten bereits das Linten nach Schwachstellen im Code einfach benutzbar gemacht, nun kommt Analyse nach Sicherheitsaspekten hinzu.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Anzeige
Spiele-Angebote
  1. (u. a. Shadow Warrior 1 + 2 für je 7,99€, Hotline Miami für 1,99€, Absolver für 6,99€)
  2. 18,99€
  3. 11,99€

Folgen Sie uns
       


Ghost of Tsushima - Fazit

Mit Ghost of Tsushima macht Sony der Playstation 4 ein besonderes Abschiedsgeschenk. Statt auf massenkompatible Bombastgrafik setzt es auf eine stellenweise fast schon surreal-traumhafte Aufmachung, bei der wir an Indiegames denken. Dazu kommen viele Elemente eines Assassin's Creed in Japan - und wir finden sogar eine Prise Gothic.

Ghost of Tsushima - Fazit Video aufrufen
    •  /