15 +新代码扫描与开源安全工具的集成

jose palafox的形象

去年,我们发布了代码扫描,漏洞检测功能github高级安全对于公共存储库,Github.com也是免费的。使用代码扫描,您可以使用github codeql.对于静态分析,或者您可以从中提供的许多第三方集成之一GitHub市场在连续集成管道中执行安全扫描并直接在Github中的结果。今天,我们很高兴地宣布拥有开源安全工具的超过15个新的一体化,可以扩大我们的语言覆盖范围,包括PHP,Swift,Kotlin,Ruby等。

以下是所有新集成的列表,其中包含Github Marketplace中的GitHub操作链接。这些集成由我们开源社区的许多关键贡献者带到我们。感谢@ajinabraham,@ moose0621,@geekmasher,@muglug,@griffinmb,@parlob,@presidenbeef,@ a-katopodis,@wenrumney,@swinton和其他人对开源静态分析工具不断增长的生态系统的贡献。

新开源扫描仪集成

移动语言

撒尿是Kotlin编程语言的静态代码分析工具。一个github行动可用对于DETEKT,以及用于静态分析结果的预配置工作流程(SARIF)上载于“安全性”选项卡下的GitHub用户界面(UI)中提供。

博克福是一种自动化的一体化移动应用程序框架(Android / iOS Swift / Windows),用于笔测试,恶意软件分析和安全评估,能够执行静态和动态分析。在...的帮助下@ajinabraham.,Mobsf现在支持代码扫描。看看github行动或在GitHub“安全性”选项卡中找到它。

非常感谢我们自己的@ moose0621@GeekMasher.为移动应用程序添加这些流行的工具!KOTLIN和SWIFT支持在CODEQL中即将举行。

PHP.

诗篇是用于在PHP支持的PHP中查找安全漏洞的开源工具@muglug.和Vimeo。尝试诗篇github行动有莎草上传。

Elixir Phoenix框架

索伯洛是针对Elixir Phoenix框架的安全焦点静态分析仪。@GriffinMB.通过添加sarif支持并写一个帮助手github行动

节点JS.

nodejsscan.是一个静态安全码扫描仪(SAST)for node.js应用程序。@ajinabraham.添加了A.github行动并将其添加到GitHub UI中!

节点JS.支持在CodeQL中也可以自然地提供。

电子

电负性是一种识别错误配置和安全防范模式的工具电子基于应用程序。看看github行动写道@jarlob.

Ruby在Rails.

Brakeman.是一个静态分析工具,可以检查Ruby的Rails应用程序是否安全漏洞。GitHub@Swinton.添加支持撒利福夫,可以配置在其中可用操作或从“安全性”选项卡中的GitHub UI入门工作流程。谢谢@presidentbeef.对于拉申请查看!

红宝石的支持在CodeQL中也是如此。

电源外壳

psscriptanalyzer.是PowerShell模块和脚本的静态代码检查器。一种github行动是写的@ a-katopodis它可以在github ui中使用。

Kubernetes yaml.

Kubesec., 受支持控制飞机,为Kubernetes资源提供安全风险分析,现在可以在GitHub UI中或通过他们提供github行动

Terraform.

TFSEC.使用Terraform模板的静态分析来发现潜在的安全问题。试试github行动或在安全UI中找到它。谢谢你的拉扯请求,@Wenrumney.!!

C / C ++

MSVC代码分析是Microsoft编译器后面的C / C ++正确检查器。

氟屑是C / C ++源代码安全检查器,可在GitHub“安全性”选项卡下可用。

这些语言本身由CodeQL覆盖,但随着旧格言进入:测量两次,切割一次!

多种语言:Java,Go,Ruby,Python等

SEMREP., 由...赞助R2C.,支持A.各种语言和补充github sarif上传通过工作流文件,可在GitHub UI中使用。

安全代码扫描是C#和VB.NET的漏洞模式检测器,并添加了一个github行动帮助@jarlob.

C#支持是也提供在CodeQL中。

devskim支持C,C ++,C#,COBOL,GO,Java,JavaScript / Cypescript,Python等。

有助于代码扫描生态系统

如果您对静态分析工具,LINTER或集装箱扫描工具贡献,则可以通过以下方式轻松地将项目与代码扫描集成步骤指南要在GitHub UI中直接列出您的项目并在GitHub“安全性”选项卡下扫描结果。

Fuzzers和动态应用安全测试(DAST)工具还可以遵循上传结果的模式,类似于布朗布雷sMayhem for api行动或者Stackhawk Hawkscan行动,它添加了Sarif帮助文本元数据字段中的Dast输出链接。

给代码扫描一次

如果您还没有尝试扫描代码扫描,现在是探索此功能的好时机及其许多集成。从GitHub UI中的“安全性”选项卡,您可以使用CodeQL在任何公共存储库上配置代码扫描,或者您可以尝试其中一个预配置的八大半径Android Kotlin.ios swift.javascript.Terraform., 要么PHP.。以下是使用Mobsf for iOS Swift的快速示例。

  1. 要尝试使用Mobsf进行代码扫描,导航至:https://github.com/octodemo/Advance-security-mobile-ios.
  2. 将存储库叉至您的GitHub帐户。(请注意,此演示使用OWASP IGOOD SWIFT - 对于iOS,一个故意易受攻击的申请,仅用于代码扫描演示目的!)
  3. 点击行动如果需要,选项卡并启用操作。您的GitHub帐户中包含1000分钟。
  4. 点击一下博克福工作流程,然后单击运行工作流程并手动运行工作流程。
    屏幕截图“运行工作流”UI
  5. 在大约一分钟内,您将看到结果在“代码扫描警报”下的“安全性”选项卡中填充。在“代码扫描警报”下填充结果的屏幕截图

使用GitHub高级安全性,配置静态分析工具并在每个拉出请求上传递上下文中的结果是那么简单!如果你想要一只手,为你的组织毫不犹豫地毫不犹豫联系我们