GitHub Code Scanning สามารถทำงานร่วมกับเครื่องมือจาก Third Party ได้แล้ว

GitHub ได้ประกาศว่าฟีเจอร์ Code Scanning ได้เปิดให้เครื่องมือสแกนโค้ดจาก Third Party เข้ามาทำงานร่วมกันได้แล้ว

Credit: GitHub

เมื่อสัปดาห์ก่อน GitHub ได้มีประกาศฟีเจอร์ Code Scanning สู่สถานะพร้อมใช้งาน ที่เป็นการสแกนช่องโหว่ในโค้ดเมื่อมีการ Pull, Push, Merge หรืออื่นๆ โค้ด เพื่อช่วยนักพัฒนาในด้านความมั่นคงปลอดภัย ซึ่งวันนี้ฟีเจอร์ดังกล่าวยังอ้าแขนรับเครื่องมือจาก Third Party ซึ่งเป็นโอเพ่นซอร์สได้แล้วถึง 10 ตัว (คลิกลิงก์ที่ชื่อได้) คือ CheckmarxCodacy, CodeScan, DefenseCode ThunderScan, Fortify on Demand, Muse, Secure Code WarriorSynopsys Intelligent Security ScanVeracode Static Analysis และ Xanitizer

ผู้ใช้งานจะได้รับประโยชน์ดังนี้

  • องค์กรขนาดใหญ่ที่มีการควบรวมกิจการอาจมีเครื่องมือสแกนต่างกันก็มาทำงานร่วมกันได้
  • อยากสแกนโค้ดเฉพาะทาง เช่น Mobile, Salesforce หรือ Mainframe 
  • ต้องการรายงานที่ปรับแต่งได้หรือ Dashboard เฉพาะตัว
  • อยากใช้เครื่องมือของตัวเองแต่ก็ไม่อยากได้ประสบการณ์เดียวกันหรือใช้ API ตัวเดียว

ไอเดียก็คือ Endpoint Code Scanning มี API ให้ดึงเอาผลลัพธ์จากเครื่องมือภายนอกเข้ามาได้ แต่ต้องเป็นในรูปแบบของ Static Analysis Results Interchange Format (SARIF) ซึ่งเครื่องมือจะถูกเรียกโดย GitHub Action หรือ GitHub App ตามอีเว้นต์เช่น Pull จากนั้นผลลัพธ์ในรูปแบบของ SARIF จะถูกอัปโหลดเข้ามายัง GitHub Security Alert และจะถูกรวมเข้ากับแต่ละเครื่องมือ ที่ GitHub จึงสามารถติดตามและยกเลิก Alert ที่ซ้ำซ้อนได้นั่นเอง

ที่มา : https://github.blog/2020-10-05-announcing-third-party-code-scanning-tools-static-analysis-and-developer-security-training/


About nattakon

จบการศึกษา ปริญญาตรีและโท สาขาวิศวกรรมคอมพิวเตอร์ KMITL เคยทำงานด้าน Engineer/Presale ดูแลผลิตภัณฑ์ด้าน Network Security และ Public Cloud ในประเทศ ปัจจุบันเป็นนักเขียน Full-time ที่ TechTalkThai

Check Also

เสริมพลังประมวลผลให้ถึงขีดสุด ตอบโจทย์ทุกการทำ Digital Transformation ด้วย HPE Superdome Flex 280 Server

เมื่อธุรกิจต่างหันมาพึ่งพาโลกออนไลน์เป็นหัวใจสำคัญในการดำเนินธุรกิจในแต่ละวัน ไม่ว่าจะเป็นการพัฒนาแอปพลิเคชันเพื่อเป็นช่องทางการขายหรือการให้บริการแก่ลูกค้า, การนำซอฟต์แวร์ ERP หรือ CRM มาใช้เพื่อให้พนักงานสามารถทำงานได้อย่างเป็นระบบ หรือกรณีอื่นๆ แนวโน้มเหล่านี้ได้ส่งผลให้ธุรกิจองค์กรนั้นต้องมองหาแนวทางที่จะทำให้ระบบดิจิทัลเหล่านี้สามารถทำงานได้อย่างมั่นคงทนทานและมั่นคงปลอดภัย เพื่อให้ธุรกิจดำเนินไปได้อย่างต่อเนื่องไม่สะดุดติดขัด

[Guest Post] 5 แนวโน้มธุรกิจไทย หลังประกาศใช้กม.คุ้มครองข้อมูลส่วนบุคคล

ปีนี้นอกจากภาคธุรกิจต้องฟื้นฟูกิจการจากพิษโควิดแล้ว การบังคับใช้กฎหมายคุ้มครองข้อมูลส่วนบุคคล หรือ พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ.2562 ซึ่งจะมีผลบังคับใช้ใน 1 มิถุนายนนี้ กำลังเริ่มเป็นที่จับตาของภาคธุรกิจไทยเชื่อมโยงไปถึงธุรกิจโลก เพราะทุกที่กำลังจับตาดูว่าไทยจะใช้กฎหมายนี้อย่างจริงจังขนาดไหน เพื่อเชื่อมโยงกับการคุ้มครองข้อมูลส่วนบุคคลของแต่ละประเทศที่บังคับกันอย่างจริงจังแล้ว โดยเฉพาะในสหภาพยุโรปซึ่งหากการบังคับใช้ไม่เกิดผลจริงจัง การกีดกันทางการค้าคงมีผลตามมา