Versionsverwaltung: GitHub öffnet die Codeanalyse für Tools von Drittanbietern
Zur Schwachstellensuche stehen nun neben Semmles CodeQL zehn weitere Werkzeuge über den GitHub Marketplace zur Verfügung, die sich direkt einbinden lassen.
(Bild: BEST-BACKGROUNDS / Shutterstock.com)
GitHub hat die vor Kurzem eingeführte Code-Scanning-Funktion um die Anbindung an Third-Party-Tools erweitert. Die im GitHub Marketplace verfügbaren Werkzeuge lassen sich über das Static Analysis Results Interchange Format (SARIF) einbinden.
Anfang Oktober hatte GitHub die integrierte Schwachstellenanalyse angekündigt und zum Start CodeQL eingebunden. Die Engine für die statische Codeanalyse stammt von Semmle, einem Anbieter von Analyse-Tool, den GitHub im September 2019 übernommen hatte. CodeQL bietet eine Anbindung für Drittanbieterwerkzeuge, und die Codeanalysefunktion ist für Betreiber von öffentlichen GitHub-Repositories kostenlos.
Standardschnittstelle für die Analyse
Die Code-Scanning-API hat einen Endpunkt zum Verarbeiten von Ergebnissen im Format SARIF, das unter dem Dach der Organization for the Advancement of Structured Information Standards (OASIS) steht, von der unter anderem auch das Open Document Document Format (ODF) stammt.
Die Einbindung der Third-Party-Tools erfolgt über eine GitHub Action oder eine GitHub App. Auslöser kann beispielsweise ein Pull Request sein. GitHub kann die Ergebnisse mehrerer Tools sammeln, auf Werkzeugebene zusammenfassen und dabei doppelte Warnungen unterdrücken. Entwickler können für unterschiedliche Projekte individuelle Scanning-Tool-Einstellungen verwenden.
Die Startaufstellung
Zum Start der Einbindung von Drittanbietertools stehen zunächst zehn Werkzeuge im Marketplace von GitHub bereit: Codacy, CodeScan, DefenseCode ThunderScan, Fortify on Demand, Muse, Secure Code Warrior, Synopsys Intelligent Security Scan, Veracode Static Analysis und Xanitizer.
Die Konferenz zur sicheren Softwareentwicklung heise devSec findet dieses Jahr als Online-Veranstaltung statt. Am 21. und 22. Oktober bietet sie insgesamt 26 Vorträge und eine Keynote in zwei parallelen Videostreams.
Zu den Schwerpunktthemen gehört die Schwachstellenanalyse und das Einbinden in DevOps beziehungsweise DevSecOps.
Weitere Details lassen sich dem GitHub-Blog entnehmen. Dort finden sich auch erweiterte Beschreibungen zu den Funktionen und er Integration der einzelnen Tools sowie die passenden Links zum GitHub Marketplace.
(rme)
