GitHub sucht automatisch nach Schwachstellen
Code Scanning soll Entwickler dabei unterstützen, Sicherheitslücken automatisch im Code zu finden, bevor das Projekt die Produktion erreicht.
Der Code-Hoster GitHub stellt die native Integration Code Scanning für GitHub-Nutzer zur Verfügung. Mit diesem Tool sollen Entwickler Sicherheitslücken in ihrem Code finden können, bevor die Schwachstellen die Produktion erreichen.
Die native Integration arbeitet mit CodeQL, einer Code-Analyse-Engine für Open-Source-Projekte aus dem Hause Semmle. Vor ungefähr einem Jahr kaufte GitHub den Code-Analyse-Dienstleister. Seitdem wurde offenbar daran gearbeitet, die Code-Analyse-Fähigkeiten von Semmles CodeQL auch für GitHub-Nutzer als native Integration zur Verfügung zu stellen. Auf der GitHub Satellite im Mai hatte der Software-Hoster die erste Beta-Version veröffentlicht.
Ein Blick unter die Haube
Code Scanning soll standardmäßig lediglich nur die ausführbaren Sicherheitsregeln anzeigen, sodass Entwickler nicht mehr mit einer Ansammlung an Linting-Vorschlägen überhäuft werden. Dafür lässt sich die Integration in GitHub Actions oder in eine bestehende CI/CD-Umgebung einbinden.
GitHub Scanning prüft Code bereits während der Entwicklung, und zeigt umsetzbare Sicherheits-Reviews innerhalb von Pull-Requests und anderen GitHub-Funktionen an, die Entwickler verwenden. Das Prüfen von Code hinsichtlich der Sicherheit soll somit fester Bestandteil der täglichen Arbeit mit GitHub sein. Dadurch möchte der Code-Hoster sicherstellen, dass Sicherheitslücken nicht in die Produktion gelangen.
GitHub stellt das Tool für öffentliche Repositories kostenlos zur Verfügung. Für private Repos ist das Codeanalyse-Werkzeug mit GitHub Enterprise über Advanced Security verfügbar. Nähere Informationen zur Veröffentlichung finden sich im Ankündigungsbeitrag auf dem GitHub-Blog.
(mdo)