SSDLC의 모든 단계에서 안전한 코딩 기술 구축

게시일: 2020.10.08.
작성자: 마티아스 마두, 박사
TL;DR?

로렘 입섬 돌로는 아메트, consectetur adipiscing 엘리트 앉아있다. 에로스 원소 tristique에서 Suspendisse varius enim. Duis cursus, mi quis viverra ornare, eros dolor interdum nulla, ut commodo diam libero vitae erat. Aenean faucibus nibh et justo cursus id rutrum lorem im imperdiet. Nunc ut sem vitae risus tristique posuere.

새로운 GitHub 액션을 사용하여 GitHub 코드 검색 워크플로우에서 직접 업계 표준 SARIF 파일에 개발자 중심 교육을 추가합니다.

9월 30일, GitHub는 GitHub 코드 스캔의일반적인 가용성을 공식적으로 발표했습니다. GitHub 코드 스캔은 프로덕션 환경에 도달하기 전에 보안 취약점을 쉽게 찾는 개발자 우선 GitHub 네이티브 접근 방식입니다.

코드 스캐닝은 GitHub 작업" 또는 기존 CI/CD 환경과 통합되어 개발 팀의 유연성을 극대화합니다. 코드가 생성될 때 코드를 스캔하고, 끌어오기 요청 내에서 실행 가능한 보안 검토를 표면화하고, GitHub 워크플로의 일부로 보안을 자동화합니다.

개발자를 위한 보안에 대한 원활한 접근 방식입니다.

개방형 SARIF(정적 분석 결과 교환 형식) 표준을 기반으로 구축된 코드 스캔은 끊임없이 증가하는 조직의 요구에 부응하도록 설계되어 동일한 GitHub 네이티브 환경 내에 오픈 소스 및 상용 정적 애플리케이션 보안 테스트(SAST) 솔루션과 같은 것을 포함할 수 있습니다.

타사 코드 검색 도구는 끌어오기 요청과 같은 GitHub 자체의 이벤트를 기반으로 GitHub 작업 또는 GitHub 앱을 사용하여 시작할 수 있습니다. 결과는 SARIF로 형식화되고 GitHub 보안 경고 탭에 업로드됩니다. 그런 다음 도구별로 경고가 집계되고 GitHub는 중복 경고를 추적하고 억제할 수 있습니다. 이를 통해 개발자는 네이티브 GitHub 환경 내에서 GitHub의 모든 프로젝트에 대해 선택한 도구를 사용할 수 있습니다. 간단히 말해서 보안에 대한 전통적인 접근 방식의 혼란을 줄이고 개발자 워크 플로우를 존중합니다.

어제 Secure Code Warrior GitHub는 블로그 게시물에서 유일한 개발자 중심 교육 제공업체인 Third-Party 코드 스캐닝 도구: 정적 분석 및 개발자 보안 교육,Synk, Checkmarx, 주문형 요새, 시놉시스 및 Veracode와 함께 선보였습니다.

많은 SCA/SAST 솔루션이 발견된 각 취약점에 대해 많은 세부 정보와 게시된 권고 및 관련 CWEs에 대한 참조를 제공하지만 모든 개발자가 보안 전문가도 아니며 이를 기대할 수 없습니다. 실용적이고 사용 가능한 조언과 도구는 실행 가능한 인식의 핵심입니다.

컨텍스트 마이크로 러닝.

개발자가 취약점에 대해 더 많이 사용할수록 위험을 더 많이 이해하고 가장 시급한 문제를 해결하는 데 우선 순위를 정하고 궁극적으로 취약점을 방지할 수 있습니다. 그게 바로 그곳이다 Secure Code Warrior 들어옵니다. 우리의 임무는 개발자가 처음부터 재미, 참여 및 프레임 워크 별 교육을 통해 보안 코드를 작성할 수 있도록 하여 보안 준수, 일관성, 품질 및 개발 속도를 신속하게 개선할 수 있도록 보안 사고 방식을 생각하고 코딩하는 것입니다.

언어로 보안 코딩 인식을 구축하는 방법에 대한 인포그래픽:특정 코딩 과제가 취약성, 재작업, 수정 비용 및 지연을 줄이는 데 도움이 되는 방법

GitHub 코드 스캔 통합

Secure Code Warrior GitHub 코드 검색에 컨텍스트 학습을 제공하는 GitHub 작업을 구축했습니다. 즉, 개발자는 Snyk 컨테이너 작업과 같은 타사 작업을 사용하여 취약점을 찾은 다음 CWE별 하이퍼 관련 학습으로 출력을 보강할 수 있습니다.

이 Secure Code Warrior GitHub Action은 업계 표준 SARIF 파일을 처리하고 SARIF 규칙 개체의 CWE 참조를 기반으로 컨텍스트 학습을 추가합니다. 이를 통해 개발 및 보안 팀은 취약성을 찾을 수 있을 뿐만 아니라 취약성이 다시 발생하지 않도록 방지 하는 실행 가능한 지식으로 지원되는 SAST 도구 보고서를 풍부하게 관리할 수 있습니다.

GitHub 코드 스캐너

직접 해볼 준비가 되셨습니까?

여기에서 GitHub 마켓플레이스에서 직접 무료로 작업을 수행할 수 있습니다.
에 대해 자세히 알아보기 Secure Code Warrior GitHub 액션은 여기에 있습니다.

리소스 보기

저자

마티아스 마두 박사

더 알고 싶으신가요?

블로그에서 최신 보안 코딩 인사이트에 대해 자세히 알아보세요.

Atlassian의 광범위한 리소스 라이브러리는 안전한 코딩 숙련도를 확보하기 위한 인적 접근 방식을 강화하는 것을 목표로 합니다.

블로그 보기
더 알고 싶으신가요?

개발자 중심 보안에 대한 최신 연구 보기

광범위한 리소스 라이브러리에는 개발자 중심의 보안 코딩을 시작하는 데 도움이 되는 백서부터 웨비나까지 유용한 리소스가 가득합니다. 지금 살펴보세요.

리소스 허브

SSDLC의 모든 단계에서 안전한 코딩 기술 구축

게시일: Mar 07, 2023
마티아스 마두, 박사

새로운 GitHub 액션을 사용하여 GitHub 코드 검색 워크플로우에서 직접 업계 표준 SARIF 파일에 개발자 중심 교육을 추가합니다.

9월 30일, GitHub는 GitHub 코드 스캔의일반적인 가용성을 공식적으로 발표했습니다. GitHub 코드 스캔은 프로덕션 환경에 도달하기 전에 보안 취약점을 쉽게 찾는 개발자 우선 GitHub 네이티브 접근 방식입니다.

코드 스캐닝은 GitHub 작업" 또는 기존 CI/CD 환경과 통합되어 개발 팀의 유연성을 극대화합니다. 코드가 생성될 때 코드를 스캔하고, 끌어오기 요청 내에서 실행 가능한 보안 검토를 표면화하고, GitHub 워크플로의 일부로 보안을 자동화합니다.

개발자를 위한 보안에 대한 원활한 접근 방식입니다.

개방형 SARIF(정적 분석 결과 교환 형식) 표준을 기반으로 구축된 코드 스캔은 끊임없이 증가하는 조직의 요구에 부응하도록 설계되어 동일한 GitHub 네이티브 환경 내에 오픈 소스 및 상용 정적 애플리케이션 보안 테스트(SAST) 솔루션과 같은 것을 포함할 수 있습니다.

타사 코드 검색 도구는 끌어오기 요청과 같은 GitHub 자체의 이벤트를 기반으로 GitHub 작업 또는 GitHub 앱을 사용하여 시작할 수 있습니다. 결과는 SARIF로 형식화되고 GitHub 보안 경고 탭에 업로드됩니다. 그런 다음 도구별로 경고가 집계되고 GitHub는 중복 경고를 추적하고 억제할 수 있습니다. 이를 통해 개발자는 네이티브 GitHub 환경 내에서 GitHub의 모든 프로젝트에 대해 선택한 도구를 사용할 수 있습니다. 간단히 말해서 보안에 대한 전통적인 접근 방식의 혼란을 줄이고 개발자 워크 플로우를 존중합니다.

어제 Secure Code Warrior GitHub는 블로그 게시물에서 유일한 개발자 중심 교육 제공업체인 Third-Party 코드 스캐닝 도구: 정적 분석 및 개발자 보안 교육,Synk, Checkmarx, 주문형 요새, 시놉시스 및 Veracode와 함께 선보였습니다.

많은 SCA/SAST 솔루션이 발견된 각 취약점에 대해 많은 세부 정보와 게시된 권고 및 관련 CWEs에 대한 참조를 제공하지만 모든 개발자가 보안 전문가도 아니며 이를 기대할 수 없습니다. 실용적이고 사용 가능한 조언과 도구는 실행 가능한 인식의 핵심입니다.

컨텍스트 마이크로 러닝.

개발자가 취약점에 대해 더 많이 사용할수록 위험을 더 많이 이해하고 가장 시급한 문제를 해결하는 데 우선 순위를 정하고 궁극적으로 취약점을 방지할 수 있습니다. 그게 바로 그곳이다 Secure Code Warrior 들어옵니다. 우리의 임무는 개발자가 처음부터 재미, 참여 및 프레임 워크 별 교육을 통해 보안 코드를 작성할 수 있도록 하여 보안 준수, 일관성, 품질 및 개발 속도를 신속하게 개선할 수 있도록 보안 사고 방식을 생각하고 코딩하는 것입니다.

언어로 보안 코딩 인식을 구축하는 방법에 대한 인포그래픽:특정 코딩 과제가 취약성, 재작업, 수정 비용 및 지연을 줄이는 데 도움이 되는 방법

GitHub 코드 스캔 통합

Secure Code Warrior GitHub 코드 검색에 컨텍스트 학습을 제공하는 GitHub 작업을 구축했습니다. 즉, 개발자는 Snyk 컨테이너 작업과 같은 타사 작업을 사용하여 취약점을 찾은 다음 CWE별 하이퍼 관련 학습으로 출력을 보강할 수 있습니다.

이 Secure Code Warrior GitHub Action은 업계 표준 SARIF 파일을 처리하고 SARIF 규칙 개체의 CWE 참조를 기반으로 컨텍스트 학습을 추가합니다. 이를 통해 개발 및 보안 팀은 취약성을 찾을 수 있을 뿐만 아니라 취약성이 다시 발생하지 않도록 방지 하는 실행 가능한 지식으로 지원되는 SAST 도구 보고서를 풍부하게 관리할 수 있습니다.

GitHub 코드 스캐너

직접 해볼 준비가 되셨습니까?

여기에서 GitHub 마켓플레이스에서 직접 무료로 작업을 수행할 수 있습니다.
에 대해 자세히 알아보기 Secure Code Warrior GitHub 액션은 여기에 있습니다.

양식을 작성하여 전체 보고서에 액세스하세요.

우리는 당신에게 우리의 제품 및 / 또는 관련 보안 코딩 주제에 대한 정보를 보낼 수있는 귀하의 허가를 바랍니다. 우리는 항상 최대한의주의를 기울여 귀하의 개인 정보를 취급 할 것이며 마케팅 목적으로 다른 회사에 판매하지 않을 것입니다.

양식을 제출하려면 '분석' 쿠키를 활성화하세요. 완료되면 언제든지 다시 비활성화할 수 있습니다.