Inleiding tot GitHub Advanced Security
GitHub Advanced Security (GHAS) is een uitgebreide suite beveiligingsfuncties die zijn ontworpen om het beveiligingspostuur van softwareontwikkelingsprojecten te verbeteren. Naast nauw geïntegreerd te zijn met GitHub. GHAS is ook beschikbaar als uitbreiding voor Azure DevOps, met vergelijkbare mogelijkheden op beide platforms.
Hoewel GHAS niet is ontworpen om de technische schulden rechtstreeks te meten, kunnen de mogelijkheden ervan aanzienlijk bijdragen aan de detectie en herstel. GHAS biedt codeanalyse, afhankelijkheidsbeheer en geavanceerde codebeoordelingen, samen met beveiligingsscanservices, zoals codescans, geheim scannen en afhankelijkheidsscans. GHAS biedt ook gedetailleerde inzichten en aanbevelingen om beveiligingsproblemen te prioriteren en aan te pakken.
Door gebruik te maken van deze functies, kunnen organisaties proactief technische schulden vroeg in de ontwikkelingslevenscyclus identificeren en aanpakken. Dit vermindert beveiligingsrisico's, verbetert de codekwaliteit en vereenvoudigt de onderhoudbaarheid op lange termijn van hun softwareprojecten.
CodeQL-analyse
CodeQL is een semantische codeanalyse-engine waarmee ontwikkelaars problemen in hun codebases kunnen identificeren. Het biedt een declaratieve querytaal die is ontworpen om te zoeken naar patronen die helpen bij het identificeren van coderingsfouten en ontwerpfouten, die allemaal bijdragen aan accumulatie van technische schulden. De analysemogelijkheden kunnen ook worden gebruikt om potentiële beveiligingsproblemen te detecteren, zoals injectiefouten, verificatieproblemen en problemen met toegangsbeheer, die vaak duiden op onderliggende technische schulden.
Beheer van afhankelijkheden
Afhankelijkheidsbeheer is essentieel voor het beheren van technische schulden die zijn gekoppeld aan verouderde of kwetsbare afhankelijkheden. GHAS-afhankelijkheidsscans biedt inzicht in projectafhankelijkheden, waaronder informatie over verouderde pakketten, beveiligingsproblemen en licentieproblemen. Dependabot kan afhankelijkheden automatisch bijwerken met beveiligingsproblemen, zodat u uw codebase up-to-date en veilig kunt houden.
Code scannen
Met codescans worden codeopslagplaatsen automatisch gescand op mogelijke beveiligingsproblemen en coderingsfouten, waaronder codegeuren en antipatronen, met behulp van een combinatie van statische analysetechnieken. Het detecteert veelvoorkomende beveiligingsproblemen, zoals cross-site scripting (XSS), SQL-injectie en bufferoverloop, die, vergelijkbaar met op CodeQL gebaseerde analyse, meestal technische schulden aangeven die voortvloeien uit onveilige coderingsprocedures. Bovendien biedt scannen van beveiligingscode bruikbare inzichten in codekwaliteit en beveiligingsrisico's, waardoor prioriteit wordt gegeven aan technische schulden en deze op de meest efficiënte en effectieve manier kunnen worden aangepakt.