Suchen

Static Application Security Testing in der CI/CD-Pipeline Veracode bietet Code-Analyse unter GitHub Actions

Redakteur: Stephan Augsten

Der Application-Security-Testing-Experte Veracode bietet seine statische Code-Analyse, kurz SAST, künftig auch unter GitHub Actions an. Entsprechende Scans lassen sich also direkt innerhalb der CI/CD-Pipeline integrieren und initiieren.

Firmen zum Thema

Beispiel für den Export der Testergebnisse eines Veracode SAST Pipeline Scans ins SARIF-Format.
Beispiel für den Export der Testergebnisse eines Veracode SAST Pipeline Scans ins SARIF-Format.
(Bild: Veracode / GitHub)

Unter GitHub Actions haben Entwickler künftig die Möglichkeit, ihren produzierten Code in Echtzeit prüfen zu lassen: Der Static Policy Scan von Veracode lässt sich direkt von GitHub Actions aus aufrufen, um einen Pipeline-Scan anzustoßen und die Scan-Ergebnisse innerhalb der Code-Scan-Benutzeroberfläche von GitHub anzusehen.

Der Policy Scan erfolgt also noch vor der eigentlichen Bereitstellung. Die Static Application Security Testing (SAST) von Veracode erweitert damit die Testing-Möglichkeiten und sorgt für einen Shift Left. Development-Teams erhalten ein automatisiertes Security-Feedback, sobald sie ihren Code kompilieren oder ihn einchecken.

Gemäß der DevSecOps-Philosophie werden die Sicherheitsprozesse direkt in die DevOps-Toolchain integriert. Nach dem Scannen erhalten die Entwickler klare Anweisungen zur Behebung von Problemen. Auf Basis der intelligenten SaaS-Plattform, die bereits über 21 Billionen Codezeilen gescannt hat, verspricht Veracode eine hohe Genauigkeit ohne manuelle Abstimmung.

Veracode-Tools sind als GitHub Actions auf dem GitHub-Marktplatz verfügbar.

(ID:46917427)