GitHub komt met nieuwe Code Scanning-securitytool

Abonneer je gratis op Techzine!

Alle gebruikers van GitHub kunnen vanaf nu gebruikmaken van de Code Scanning-securitytool. Deze gaat actief op zoek naar foutjes in code en geeft deze aan als ‘zwakte’. Zo kun je zelf snel doorcoderen en wordt de check gedaan door de tool. Of je nu een betaald of een gratis account hebt: GitHub maakt hem voor iedereen beschikbaar.

De tool wil code veiliger maken. Elke request wordt geanalyseerd terwijl je aan het coderen bent. Code Scanning geeft een seintje dat het niet helemaal lekker loopt en dan kun je daar meteen iets aan doen om het op te lossen.

Cody Scanning

Het werkt bovenop CodeQL, wat sinds september 2019 deel uitmaakt van GitHub nadat het de Semmle kocht. CodeQL is code query-taal, een generieke taal waarmee ontwikkelaars regels kunnen tikken die vervolgens langs andere grote codedatabases wordt gelegd om te kijken of er verschillen zijn, schrijft ZDnet.

Wil je gebruikmaken van Code Scanning, ga dan naar het Security-tabblad bij elk gedeelte waarop je de tool wil gebruiken. GitHub heeft zelf al 2.000 vooraf gedefinieerde CodeQL-queries in het systeem gezet waardoor je alvast de heel basic beveiligingsfouten kunt wegfilteren.

Github

Je kunt ook aangepaste CodeQL-sjablonen gebruiken uit open-source-tools van derden. De optie is al een tijdje in aankomst: in mei werd het voor het eerst in bèta getest nadat het tijdens GitHub Satellite werd aangekondigd. Er zijn sinds het begin al 1,4 miljoen scans mee uitgevoerd op 12.000 repositories. Daarbij zijn al maar liefst 20.000 zwakten gevonden.

Eerder dit jaar maakte GitHub diverse basisfuncties van de dienst gratis beschikbaar. Zeker met de pandemie waarin er veel druk wordt gelegd op het snel ontwikkelen en op de markt brengen van nieuwe oplossingen is het goed dat ontwikkelaars hierbij zoveel mogelijk ondersteuning krijgen.