Suchen

Schwachstellen-Analyse auf Basis von CodeQL GitHub Code Scanning nicht länger in Beta-Phase

| Redakteur: Stephan Augsten

GitHub hat das mit GitHub Actions integrierte Code-Scanning-Feature aus der Beta-Phase entlassen. Öffentliche Repositories lassen sich damit kostenlos auf Schwachstellen hin testen, private Code-Sammlungen können im Rahmen einer Enterprise-Lizenz geprüft werden.

Firmen zum Thema

GitHub hat die Funktion „Code Scanning“ allgemein verfügbar gemacht.
GitHub hat die Funktion „Code Scanning“ allgemein verfügbar gemacht.
(Bild: GitHub)

Das Code-Scanning-Feature von GitHub basiert auf der Code-Analyse-Engine CodeQL. Mittlerweile stehen über 2.000 vordefinierte CodeQL-Abfragen zur Verfügung, um bestehenden und neu geschriebenen Quelltext auf Schwachstellen zu prüfen. Ebenso ist es möglich, benutzerdefinierte Abfragen zu erstellen.

GitHub Code Scanning basiert auf dem offenen SARIF-Standard und erlaubt es, auch Open-Source- und kommerzielle SAST-Lösungen (Static Application Security Testing) in GitHub zu integrieren. Die Ergebnisse aller eingesetzten Sicherheitstools lassen sich somit zentral einsehen und letztlich auch über eine einheitliche API wieder exportieren.

Code Scanning lässt sich in GitHub Action oder in bestehende CI/CD-Umgebungen integrieren, um die Flexibilität für Ihr Team zu maximieren. Es scannt Code, während er erstellt wird, und unterstützt Sicherheitsüberprüfungen innerhalb von Pull-Anfragen. Die Sicherheit wird damit ein automatisierter Bestandteil von Development-Workflows um sicherzustellen, dass Schwachstellen nicht in Produktion gelangen.

Public Repositories dürfen kostenfrei mit Code Scanning überprüft werden, für private Code-Sammlungen ist Code-Scanning innerhalb eines „Advanced Security“-Abonnements von GitHub Enterprise verfügbar. Weitere Informationen zum Code Scanning im Security-Bereich von GitHub.

(ID:46917413)