Veracode Static Analysis stützt DevSecOps

Pipeline-Scan bei Software-Build

| Redakteur: Stephan Augsten

Die Idee hinter dem Pipeline-Scan von Veracode Static Analysis ist es, den Code noch in der Build-Phase auf Fehler zu prüfen.
Bildergalerie: 1 Bild
Die Idee hinter dem Pipeline-Scan von Veracode Static Analysis ist es, den Code noch in der Build-Phase auf Fehler zu prüfen. (Bild: Veracode)

Die jüngste Generation von Veracode Static Analysis kommt mit einem Pipeline-Scan daher. Dieser wurde für den Einsatz bei der Übergabe von Code an den Build-Prozess optimiert. Die statische Code-Analyse ist dabei Teil der Veracode SaaS-Plattform.

Eine DevSecOps-Strategie will technisch unterstützt werden, Veracode Static Analysis soll den Anforderungen mit drei unterschiedlichen Scan-Typen gerecht werden. Diese sollen über den gesamten Softwarelebenszyklus hinweg greifen. Ein IDE-Scan, ehemals als Greenlight bekannt, identifiziert Fehler bereits während des Programmierens, also noch vor dem Commit. Der Scan liefert in durchschnittlich drei Sekunden Ergebnisse, so Veracode.

Neu im Bunde ist wie erwähnt der Pipeline-Scan, dessen mittlere Dauer laut Hersteller 90 Sekunden beträgt. Somit soll er dem agilen Gedanken von DevSecOps und schnellem Feedback zu jedem Build in einer kontinuierlichen Integrationsumgebung entgegenkommen. Sicherheitsprobleme lassen sich noch in der Pipeline beheben.

Der Policy-Scan hingegen bewertet Code mit einem Audit-Trail für Management und Compliance. Ein umfassender Scan mit detaillierter Protokollierung dauert dabei laut Veracode im Schnitt acht Minuten. Die Compliance lässt sich auch vorab in einer Sandbox-Umgebung prüfen. Jede Anwendung wird anhand der Sicherheitsrichtlinien des Unternehmens bewertet und liefert ein klares Pass/Fail-Ergebnis.

Mit einer von Entwicklern gemeldeten False-Positive-Rate von weniger als 1,1 Prozent soll die statische Code-Analyse von Veracode auch ohne manuelle Abstimmung besonders genau sein, 14 Billionen Codezeilen wurden dabei gescannt. Weitere Informationen zu Static Analysis auf der Webseite von Veracode.

Kommentare werden geladen....

Kommentar zu diesem Artikel

Der Kommentar wird durch einen Redakteur geprüft und in Kürze freigeschaltet.

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Kontaktieren Sie uns über: support.vogel.de/ (ID: 46376355 / Softwareentwicklung)