새로운 GitHub 액션을 사용하여 GitHub 코드 검색 워크플로우에서 직접 업계 표준 SARIF 파일에 개발자 중심 교육을 추가합니다.

9월 30일, GitHub는 GitHub 코드 스캔의일반적인 가용성을 공식적으로 발표했습니다. GitHub 코드 스캔은 프로덕션 환경에 도달하기 전에 보안 취약점을 쉽게 찾는 개발자 우선 GitHub 네이티브 접근 방식입니다.

코드 스캐닝은 GitHub 작업" 또는 기존 CI/CD 환경과 통합되어 개발 팀의 유연성을 극대화합니다. 코드가 생성될 때 코드를 스캔하고, 끌어오기 요청 내에서 실행 가능한 보안 검토를 표면화하고, GitHub 워크플로의 일부로 보안을 자동화합니다.

개발자를 위한 보안에 대한 원활한 접근 방식입니다.

개방형 SARIF(정적 분석 결과 교환 형식) 표준을 기반으로 구축된 코드 스캔은 끊임없이 증가하는 조직의 요구에 부응하도록 설계되어 동일한 GitHub 네이티브 환경 내에 오픈 소스 및 상용 정적 애플리케이션 보안 테스트(SAST) 솔루션과 같은 것을 포함할 수 있습니다.

타사 코드 검색 도구는 끌어오기 요청과 같은 GitHub 자체의 이벤트를 기반으로 GitHub 작업 또는 GitHub 앱을 사용하여 시작할 수 있습니다. 결과는 SARIF로 형식화되고 GitHub 보안 경고 탭에 업로드됩니다. 그런 다음 도구별로 경고가 집계되고 GitHub는 중복 경고를 추적하고 억제할 수 있습니다. 이를 통해 개발자는 네이티브 GitHub 환경 내에서 GitHub의 모든 프로젝트에 대해 선택한 도구를 사용할 수 있습니다. 간단히 말해서 보안에 대한 전통적인 접근 방식의 혼란을 줄이고 개발자 워크 플로우를 존중합니다.

어제 Secure Code Warrior GitHub는 블로그 게시물에서 유일한 개발자 중심 교육 제공업체인 Third-Party 코드 스캐닝 도구: 정적 분석 및 개발자 보안 교육,Synk, Checkmarx, 주문형 요새, 시놉시스 및 Veracode와 함께 선보였습니다.

많은 SCA/SAST 솔루션이 발견된 각 취약점에 대해 많은 세부 정보와 게시된 권고 및 관련 CWEs에 대한 참조를 제공하지만 모든 개발자가 보안 전문가도 아니며 이를 기대할 수 없습니다. 실용적이고 사용 가능한 조언과 도구는 실행 가능한 인식의 핵심입니다.

컨텍스트 마이크로 러닝.

개발자가 취약점에 대해 더 많이 사용할수록 위험을 더 많이 이해하고 가장 시급한 문제를 해결하는 데 우선 순위를 정하고 궁극적으로 취약점을 방지할 수 있습니다. 그게 바로 그곳이다 Secure Code Warrior 들어옵니다. 우리의 임무는 개발자가 처음부터 재미, 참여 및 프레임 워크 별 교육을 통해 보안 코드를 작성할 수 있도록 하여 보안 준수, 일관성, 품질 및 개발 속도를 신속하게 개선할 수 있도록 보안 사고 방식을 생각하고 코딩하는 것입니다.

GitHub 코드 스캔 통합

Secure Code Warrior GitHub 코드 검색에 컨텍스트 학습을 제공하는 GitHub 작업을 구축했습니다. 즉, 개발자는 Snyk 컨테이너 작업과 같은 타사 작업을 사용하여 취약점을 찾은 다음 CWE별 하이퍼 관련 학습으로 출력을 보강할 수 있습니다.

이 Secure Code Warrior GitHub Action은 업계 표준 SARIF 파일을 처리하고 SARIF 규칙 개체의 CWE 참조를 기반으로 컨텍스트 학습을 추가합니다. 이를 통해 개발 및 보안 팀은 취약성을 찾을 수 있을 뿐만 아니라 취약성이 다시 발생하지 않도록 방지 하는 실행 가능한 지식으로 지원되는 SAST 도구 보고서를 풍부하게 관리할 수 있습니다.

직접 해볼 준비가 되셨습니까?

여기에서 GitHub 마켓플레이스에서 직접 무료로 작업을 수행할 수 있습니다.
에 대해 자세히 알아보기 Secure Code Warrior GitHub 액션은 여기에 있습니다.