Der Anbieter der Sicherheitsplattform Snyk erweitert sein Angebot an kostenlosen Tools für Einzelentwicklerinnen und -entwickler sowie für diejenigen, die zu Open-Source-Projekten beitragen, um den Ende letzten Jahres vorgestellten SAST-Dienst (Static Application Security Testing) Snyk Code.

Snyk hatte bei der Vorstellung von Snyk Code auf der snykcon vor allem die Performance hervorgehoben. Dazu setzt der Dienst unter der Haube auf eine proprietäre logische Programmier-Engine. Das Unternehmen verspricht zehn- bis fünfzigmal schnellere Scans als andere SAST-Angebote. Über eine semantische Codeanalyse soll Snyk Code zudem mehr Schwachstellen und Performance-relevante Bugs aufspüren als die Wettbewerber.

Auf die Finger geschaut

Über eine IDE Extension lässt sich Snyk Code direkt in Visual Studio Code einbinden, und ein Plug-in ermöglicht die Integration in die JetBrains-Werkzeuge IntelliJ IDEA, WebStorm und PyCharm. Dank der Performance, die Scans in Echtzeit ermöglichen soll, gibt Snyk Code direkt beim Tippen Rückmeldungen zu potenziellen Schwachstellen.

Das Plug-ins weist beim Tippen von Code auf potenzielle Schwachstellen wie hartkodierte Credentials hin. (Bild: Snyk)

Bisher gab es Snyk Code nur als kommerzielles Angebot. Ab sofort steht der Dienst Einzelentwicklern und -entwicklerinnen für bis zu hundert Codescans im Monat kostenlos zur Verfügung. Neben dem kostenlosen Angebot für den Einsatz in Open-Source-Projekten bietet das Tool die Funktion Monitor public GitHub repo, um frei zugängliche, öffentliche GitHub-Repositories zu scannen.

Für die Registrierung ist keine Kreditkarte, sondern lediglich ein Account bei GitHub, Bitbucket, GitLab oder eine Docker-ID erforderlich. Wer bereits den Free Plan für Snyk Open Source, Snyk Container oder Snyk Infrastructure as Code nutzt, muss lediglich Snyk Code in den Account-Settings aktivieren.

Die kostenfreie Version bietet laut Snyk dieselbe Grundlage wie die kommerzielle Variante und untersucht Code in Java, JavaScript und TypeScript. Python befindet sich derzeit in der Beta-Phase, und in den kommenden Monaten soll Snyk Code weitere Programmiersprachen lernen.

Weitere Details lassen sich dem Snyk-Blog entnehmen. Inwiefern sich die limitierten Scans mit den automatisierten Echtzeittests in der IDE vereinbaren lassen, geht aus der Ankündigung nicht hervor.

(rme)