GitHub hat die vor Kurzem eingeführte Code-Scanning-Funktion um die Anbindung an Third-Party-Tools erweitert. Die im GitHub Marketplace verfügbaren Werkzeuge lassen sich über das Static Analysis Results Interchange Format (SARIF) einbinden.

Anfang Oktober hatte GitHub die integrierte Schwachstellenanalyse angekündigt und zum Start CodeQL eingebunden. Die Engine für die statische Codeanalyse stammt von Semmle, einem Anbieter von Analyse-Tool, den GitHub im September 2019 übernommen hatte. CodeQL bietet eine Anbindung für Drittanbieterwerkzeuge, und die Codeanalysefunktion ist für Betreiber von öffentlichen GitHub-Repositories kostenlos.

Standardschnittstelle für die Analyse

Die Code-Scanning-API hat einen Endpunkt zum Verarbeiten von Ergebnissen im Format SARIF, das unter dem Dach der Organization for the Advancement of Structured Information Standards (OASIS) steht, von der unter anderem auch das Open Document Document Format (ODF) stammt.

Die Einbindung der Third-Party-Tools erfolgt über eine GitHub Action oder eine GitHub App. Auslöser kann beispielsweise ein Pull Request sein. GitHub kann die Ergebnisse mehrerer Tools sammeln, auf Werkzeugebene zusammenfassen und dabei doppelte Warnungen unterdrücken. Entwickler können für unterschiedliche Projekte individuelle Scanning-Tool-Einstellungen verwenden.

Die Startaufstellung

Zum Start der Einbindung von Drittanbietertools stehen zunächst zehn Werkzeuge im Marketplace von GitHub bereit: Codacy, CodeScan, DefenseCode ThunderScan, Fortify on Demand, Muse, Secure Code Warrior, Synopsys Intelligent Security Scan, Veracode Static Analysis und Xanitizer.

Weitere Details lassen sich dem GitHub-Blog entnehmen. Dort finden sich auch erweiterte Beschreibungen zu den Funktionen und er Integration der einzelnen Tools sowie die passenden Links zum GitHub Marketplace.

(rme)