Codeanalyse: Snyk erweitert die kostenfreie Werkzeugkiste um Snyk Code

Das SAST-Angebot steht ab sofort für Einzelentwickler und -entwicklerinnen sowie für diejenigen, die zu Open-Source-Projekten beitragen, kostenlos bereit.

Lesezeit: 1 Min.
In Pocket speichern
vorlesen Druckansicht Kommentare lesen

(Bild: deepadesigns/Shutterstock.com)

Von
  • Rainald Menge-Sonnentag

Der Anbieter der Sicherheitsplattform Snyk erweitert sein Angebot an kostenlosen Tools für Einzelentwicklerinnen und -entwickler sowie für diejenigen, die zu Open-Source-Projekten beitragen, um den Ende letzten Jahres vorgestellten SAST-Dienst (Static Application Security Testing) Snyk Code.

Snyk hatte bei der Vorstellung von Snyk Code auf der snykcon vor allem die Performance hervorgehoben. Dazu setzt der Dienst unter der Haube auf eine proprietäre logische Programmier-Engine. Das Unternehmen verspricht zehn- bis fünfzigmal schnellere Scans als andere SAST-Angebote. Über eine semantische Codeanalyse soll Snyk Code zudem mehr Schwachstellen und Performance-relevante Bugs aufspüren als die Wettbewerber.

Über eine IDE Extension lässt sich Snyk Code direkt in Visual Studio Code einbinden, und ein Plug-in ermöglicht die Integration in die JetBrains-Werkzeuge IntelliJ IDEA, WebStorm und PyCharm. Dank der Performance, die Scans in Echtzeit ermöglichen soll, gibt Snyk Code direkt beim Tippen Rückmeldungen zu potenziellen Schwachstellen.

Das Plug-ins weist beim Tippen von Code auf potenzielle Schwachstellen wie hartkodierte Credentials hin.

(Bild: Snyk)

Bisher gab es Snyk Code nur als kommerzielles Angebot. Ab sofort steht der Dienst Einzelentwicklern und -entwicklerinnen für bis zu hundert Codescans im Monat kostenlos zur Verfügung. Neben dem kostenlosen Angebot für den Einsatz in Open-Source-Projekten bietet das Tool die Funktion Monitor public GitHub repo, um frei zugängliche, öffentliche GitHub-Repositories zu scannen.

Für die Registrierung ist keine Kreditkarte, sondern lediglich ein Account bei GitHub, Bitbucket, GitLab oder eine Docker-ID erforderlich. Wer bereits den Free Plan für Snyk Open Source, Snyk Container oder Snyk Infrastructure as Code nutzt, muss lediglich Snyk Code in den Account-Settings aktivieren.

heise devSec: Die Konferenz zu sicherer Softwareentwicklung

Dieses Jahr erweitern heise Developer und dpunkt.verlag die Konferenz für sichere Softwareentwicklung heise devSec um drei Thementage. Nach dem Kryptotag im April steht am 29. Juni DevSecOps im Fokus, während sich am 1. Juli alles um Web Application Security dreht. Für beide Tage gilt derzeit noch der Frühbucherrabatt.

Wer einen Vortrag zu sicherer Softwareentwicklung halten möchte, sollte noch bis zum 13. Juni den Call for Proposals zu der im Herbst veranstalteten zweitägigen heise devSec nutzen.

Die kostenfreie Version bietet laut Snyk dieselbe Grundlage wie die kommerzielle Variante und untersucht Code in Java, JavaScript und TypeScript. Python befindet sich derzeit in der Beta-Phase, und in den kommenden Monaten soll Snyk Code weitere Programmiersprachen lernen.

Weitere Details lassen sich dem Snyk-Blog entnehmen. Inwiefern sich die limitierten Scans mit den automatisierten Echtzeittests in der IDE vereinbaren lassen, geht aus der Ankündigung nicht hervor.

(rme)