Code-Scanning
Automatisierte Codeanalyse zum Finden von Sicherheitslücken, Bugs und Code-Qualitätsproblemen, typischerweise in CI/CD-Pipelines integriert.
Definition
Code-Scanning ist SAST (Static Application Security Testing) integriert in Entwicklungsworkflows. GitHub Code Scanning verwendet CodeQL, eine semantische Analyse-Engine, die Code wie eine Datenbank abfragt. GitLab hat SAST-Templates, und Plattformen wie Snyk und SonarCloud bieten ähnliche Features. Scans laufen bei Pull Requests und blockieren das Mergen bei kritischen Problemen.
Warum es wichtig ist
Code-Scanning fängt Sicherheitslücken vor der Produktion ab, wenn sie am günstigsten zu beheben sind. GitHubs Advanced Security hat über 50.000 CVEs in Open-Source-Code gefunden. Durch Scannen jedes PRs halten Teams ein Sicherheitsniveau aufrecht und verhindern Regressionen.
Beispiel
Ein Entwickler öffnet einen PR mit SQL-Konkatenation. GitHub Code Scanning erkennt das SQL-Injection-Risiko, fügt eine Warnung an der verwundbaren Zeile hinzu und blockiert das Mergen des PRs bis das Problem behoben ist.