GitHub Code Scanning สามารถทำงานร่วมกับเครื่องมือจาก Third Party ได้แล้ว

GitHub ได้ประกาศว่าฟีเจอร์ Code Scanning ได้เปิดให้เครื่องมือสแกนโค้ดจาก Third Party เข้ามาทำงานร่วมกันได้แล้ว

Credit: GitHub

เมื่อสัปดาห์ก่อน GitHub ได้มีประกาศฟีเจอร์ Code Scanning สู่สถานะพร้อมใช้งาน ที่เป็นการสแกนช่องโหว่ในโค้ดเมื่อมีการ Pull, Push, Merge หรืออื่นๆ โค้ด เพื่อช่วยนักพัฒนาในด้านความมั่นคงปลอดภัย ซึ่งวันนี้ฟีเจอร์ดังกล่าวยังอ้าแขนรับเครื่องมือจาก Third Party ซึ่งเป็นโอเพ่นซอร์สได้แล้วถึง 10 ตัว (คลิกลิงก์ที่ชื่อได้) คือ CheckmarxCodacy, CodeScan, DefenseCode ThunderScan, Fortify on Demand, Muse, Secure Code WarriorSynopsys Intelligent Security ScanVeracode Static Analysis และ Xanitizer

ผู้ใช้งานจะได้รับประโยชน์ดังนี้

  • องค์กรขนาดใหญ่ที่มีการควบรวมกิจการอาจมีเครื่องมือสแกนต่างกันก็มาทำงานร่วมกันได้
  • อยากสแกนโค้ดเฉพาะทาง เช่น Mobile, Salesforce หรือ Mainframe 
  • ต้องการรายงานที่ปรับแต่งได้หรือ Dashboard เฉพาะตัว
  • อยากใช้เครื่องมือของตัวเองแต่ก็ไม่อยากได้ประสบการณ์เดียวกันหรือใช้ API ตัวเดียว

ไอเดียก็คือ Endpoint Code Scanning มี API ให้ดึงเอาผลลัพธ์จากเครื่องมือภายนอกเข้ามาได้ แต่ต้องเป็นในรูปแบบของ Static Analysis Results Interchange Format (SARIF) ซึ่งเครื่องมือจะถูกเรียกโดย GitHub Action หรือ GitHub App ตามอีเว้นต์เช่น Pull จากนั้นผลลัพธ์ในรูปแบบของ SARIF จะถูกอัปโหลดเข้ามายัง GitHub Security Alert และจะถูกรวมเข้ากับแต่ละเครื่องมือ ที่ GitHub จึงสามารถติดตามและยกเลิก Alert ที่ซ้ำซ้อนได้นั่นเอง

ที่มา : https://github.blog/2020-10-05-announcing-third-party-code-scanning-tools-static-analysis-and-developer-security-training/


About nattakon

จบการศึกษา ปริญญาตรีและโท สาขาวิศวกรรมคอมพิวเตอร์ KMITL เคยทำงานด้าน Engineer/Presale ดูแลผลิตภัณฑ์ด้าน Network Security และ Public Cloud ในประเทศ ปัจจุบันเป็นนักเขียน Full-time ที่ TechTalkThai

Check Also

สเปกหลุด! Intel NUC 12 Enthusiast “Serpent Canyon” Core i7-12700H และ Arc A770M 16GB

หลุดมาคำโต กับสเปก Intel NUC 12 Enthusiast ในรหัส “Serpent Canyon” พีซีขนาดจิ๋วกับพลังการขับเคลื่อนด้วยสถาปัตยกรรมรุ่นล่าสุด Intel 12th Gen Core H-Series …

[Guest Post] เสริมความแกร่งให้ธุรกิจ และปกป้องข้อมูลด้วย IBM QRadar SIEM และIBM FlashSystem Safeguarded Copy

เมื่อธุรกิจยุคดิจิทัล ต้องเผชิญกับความท้าทายจากภัยไซเบอร์หลากหลายรูปแบบ ไม่ว่าจะเป็น แฮ็กเกอร์ ข้อมูลรั่วไหล และแรนซัมแวร์ที่เป็นอุปสรรคสำคัญคอยขัดขวางและสร้างความเสียหายอย่างมาก ทั้งงบประมาณในการกู้คืนระบบ เวลาและโอกาสทางธุรกิจ และที่สำคัญคือความเชื่อถือของลูกค้า ที่ไม่อาจประเมินเป็นตัวเงินได้