GitHub a annoncé que 10 nouveaux outils tiers ont été mis à disposition pour être utilisés avec sa fonctionnalité d'analyse de code récemment publiée. Cela signifie que davantage de développeurs pourront supprimer les vulnérabilités de sécurité et autres failles avant de s'engager dans le code. L'analyse de code a été annoncée fin septembre comme une approche native GitHub pour les développeurs afin de réduire le nombre de vulnérabilités passant en production. Les développeurs peuvent se concentrer sur l'écriture de leurs lignes de code les plus créatives et les plus belles, tandis que le moteur d'analyse statique CodeQL de GitHub exécute automatiquement des règles de sécurité exploitables. L'analyse se produit lorsqu'un nouveau code est créé et intégré à GitHub Actions ou à votre environnement CI/CD existant pour offrir une flexibilité maximale aux développeurs.
Bienvenue à la fête
La fonction d'analyse de code a été un succès précoce, identifiant quelque 20.000 10 problèmes de sécurité depuis son lancement bêta en mai. L'ajout de 10 nouveaux outils tiers offrira des options de personnalisation supplémentaires aux développeurs tout en leur permettant d'utiliser leurs outils GitHub préférés et de continuer à profiter d'une expérience utilisateur unique. "Aujourd'hui, nous sommes ravis de présenter XNUMX nouveaux outils tiers disponibles avec l'analyse de code GitHub", a confirmé José Palafox, directeur principal du développement commercial de GitHub, dans un article de blog. « Ces projets open source et ces solutions Static Application Security Testing (SAST) apportent une large gamme d'outils de sécurité supplémentaires directement dans le flux de travail des développeurs, garantissant que les vulnérabilités peuvent être identifiées et corrigées avant qu'elles ne disparaissent. être validé dans la base de code. " Parmi les dix nouveaux outils figurent Checkmarx, la principale solution de sécurité logicielle pour le développement de logiciels d'entreprise, et Codacy, qui fournit des modifications d'analyse statique, de complexité cyclomatique, de duplication et de couverture de code de test unitaire pour chaque requête. Outils de validation et d'extraction. Nouveaux outils restants incluent CodeScan, DefenseCode ThunderScan, Fortify on Demand, Muse, Secure Code Warrior, Synopsys Intelligent Security Scan, Veracode Static Analysis et Xanitizer. Des outils d'analyse tiers sont désormais disponibles sur GitHub Marketplace.