Die native Integration Code Scanning stellt der Code-Hoster GitHub für GitHub-Nutzer zur Verfügung. Entwickler sollen mit diesem Tool Sicherheitslücken in ihrem Code finden können, bevor die Schwachstellen die Produktion erreichen.

Für die native Integration wird CodeQL verwendet, einer Code-Analyse-Engine für Open-Source-Projekte aus dem Hause Semmle. Der Code-Analyse-Dienstleister wurde vor ungefähr einem Jahr von GitHub aufgekauft. Im Mai hatte der Software-Hoster auf der GitHub Satellite die erste Beta-Version veröffentlicht.

Bereits während der Entwicklung prüft GitHub Scanning den Code und zeigt umsetzbare Sicherheits-Reviews innerhalb von Pull-Requests und anderen GitHub-Funktionen an, die Entwickler verwenden. Somit soll das Prüfen von Code hinsichtlich der Sicherheit fester Bestandteil der täglichen Arbeit mit GitHub sein. Der Code-Hoster möchte dadurch sicherstellen, dass Sicherheitslücken nicht in die Produktion gelangen.

Das Tool stellt GitHub für öffentliche Repositories kostenfrei zur Verfügung. Im Ankündigungsbeitrag auf dem GitHub-Blog finden sich nähere Informationen zur Veröffentlichung.

(ts, hannover)

(siehe auch: Heise-News-Ticker)

Hannover · EDV-Beratung · Linux · Novell · Microsoft · Seminar · IT-Consult · Netzwerk · LPIC · CLE