Veracode, Hersteller von Sicherheitswerkzeugen, hat die nächste Generation von Veracode Static Analysis vorgestellt. Das Werkzeug bietet Analysen über den gesamten Entwicklungszyklus hinweg und umfasst nun einen neuen Pipeline-Scan, der wohl für den Einsatz bei der Übergabe von Code an den Build-Prozess optimiert ist. Static Analysis ist Teil von Veracodes Software as a Service (SaaS), zu der Funktionen in den Bereichen Sicherheitsanalyse, Developer Enablement und AppSec Governance gehören.

Scans auf dreierlei Art

Konkret besteht Veracode Static Analysis aus IDE-, Pipeline und Policy-Scan:

Mit dem IDE-Scan, ehemals Veracode Greenlight, können Entwickler während des Schreibens von Code, also noch vor dem Commit, Fehler entdecken. Der Scan liefert in wohl durchschnittlich drei Sekunden Ergebnisse. Durch rasches Feedback und Ratschläge zur Fehlerbehebung kommt er außerdem wie eine Schulung zum sicheren Programmieren daher.

Der Policy-Scan ermöglicht noch vor der Freigabe von Software eine vollständige Bewertung des Codes mit einem Audit-Trail für Management und Compliance. Er ist durchschnittlich nach ungefähr acht Minuten abgeschlossen. Entwicklungsteams können die Compliance auch vorab in einer Sandbox-Umgebung prüfen, bevor sie Ergebnisse an Sicherheitsteams und Verwaltung weiterleiten. Die Anwendungen werden anhand der Sicherheitsrichtlinien des Unternehmens bewertet, und der Policy-Scan liefert ein wohl eindeutiges Pass/Fail-Ergebnis.

Der neue Pipeline-Scan benötigt im Mittelwert nur etwa 90 Sekunden. Entwickler sollen damit getreu dem Motto von DevSecOps Sicherheitsmängel in der Pipeline beheben können. Dadurch bekommen sie Feedback zu jedem Build in einer kontinuierlichen Integrationsumgebung.

Weitere Informationen bekommen Interessierte in der Ankündigung in Veracodes Firmenblog oder in einem technischen Whitepaper zu Veracode Static Analysis. (ane)