GitHub Code Scanning สามารถทำงานร่วมกับเครื่องมือจาก Third Party ได้แล้ว

GitHub ได้ประกาศว่าฟีเจอร์ Code Scanning ได้เปิดให้เครื่องมือสแกนโค้ดจาก Third Party เข้ามาทำงานร่วมกันได้แล้ว

เมื่อสัปดาห์ก่อน GitHub ได้มีประกาศฟีเจอร์ Code Scanning สู่สถานะพร้อมใช้งาน ที่เป็นการสแกนช่องโหว่ในโค้ดเมื่อมีการ Pull, Push, Merge หรืออื่นๆ โค้ด เพื่อช่วยนักพัฒนาในด้านความมั่นคงปลอดภัย ซึ่งวันนี้ฟีเจอร์ดังกล่าวยังอ้าแขนรับเครื่องมือจาก Third Party ซึ่งเป็นโอเพ่นซอร์สได้แล้วถึง 10 ตัว (คลิกลิงก์ที่ชื่อได้) คือ Checkmarx,  Codacy, CodeScan, DefenseCode ThunderScan, Fortify on Demand, Muse, Secure Code Warrior, Synopsys Intelligent Security Scan, Veracode Static Analysis และ Xanitizer

ผู้ใช้งานจะได้รับประโยชน์ดังนี้

• องค์กรขนาดใหญ่ที่มีการควบรวมกิจการอาจมีเครื่องมือสแกนต่างกันก็มาทำงานร่วมกันได้
• อยากสแกนโค้ดเฉพาะทาง เช่น Mobile, Salesforce หรือ Mainframe 
• ต้องการรายงานที่ปรับแต่งได้หรือ Dashboard เฉพาะตัว
• อยากใช้เครื่องมือของตัวเองแต่ก็ไม่อยากได้ประสบการณ์เดียวกันหรือใช้ API ตัวเดียว

ไอเดียก็คือ Endpoint Code Scanning มี API ให้ดึงเอาผลลัพธ์จากเครื่องมือภายนอกเข้ามาได้ แต่ต้องเป็นในรูปแบบของ Static Analysis Results Interchange Format (SARIF) ซึ่งเครื่องมือจะถูกเรียกโดย GitHub Action หรือ GitHub App ตามอีเว้นต์เช่น Pull จากนั้นผลลัพธ์ในรูปแบบของ SARIF จะถูกอัปโหลดเข้ามายัง GitHub Security Alert และจะถูกรวมเข้ากับแต่ละเครื่องมือ ที่ GitHub จึงสามารถติดตามและยกเลิก Alert ที่ซ้ำซ้อนได้นั่นเอง

ที่มา : https://github.blog/2020-10-05-announcing-third-party-code-scanning-tools-static-analysis-and-developer-security-training/