DefenseCode宣布集成GitHub为开发人员提供SAST解决方案
DefenseCode集团宣布,DefenseCode静态应用程序安全测试(SAST)ThunderScan®解决方案现可作为一个GitHub Action,提供30多种语言的安全漏洞分析,并将详细的漏洞报告集成到GitHub中。
DefenseCodeThunderScan®是SAST(静态应用程序安全测试,白盒测试)解决方案,用于对应用程序源代码进行深入而广泛的安全性分析。ThunderScan®易于使用,几乎不需要用户输入,可以轻松集成到DevOps环境和CI / CD管道中,并且可以在开发期间或开发之后进行部署。
借助ThunderScan®SAST,很容易满足合规标准要求,例如PCI-DSS,SANS / CWE前25名,OWASP前10名,HIPPA,HITRUST或NIST。
GitHub是一个开发者协作平台,拥有超过5000万用户,300万组织和超过1亿个回购协议。它最近宣布了其代码扫描功能的全面可用性,这是一种开发者优先、GitHub原生方法,可以在代码中的安全漏洞正式投入生产之前轻松地找到它们。
对静态分析结果交换格式(SARIF)的新增支持,由ThunderScan®GitHub Action自动上传,使开发人员可以通过直接在GitHub代码扫描界面中查看分析安全漏洞。代码扫描会在创建代码自动进行,也可以在请求时触发安全性检查。它还可以防止开发人员引入新的漏洞。扫描可以安排在特定的日期和时间,也可以由类似代码入库等的特定事件自动触发。
DefenseCode客户现在可以运行GitHub提供的跨平台自托管运行程序,以自定义用于在GitHub Actions工作流程中运行ThunderScan®Action作业的环境。
ThunderScan®SAST具有专用的REST API客户端,可通过带有参数的GitHub Action调用该客户端,以对目标存储库运行分析。
在管理层次结构的各个级别上可添加自托管运行器:
● 存储库级运行程序专用于单个存储库。
● 组织级运行者可处理组织中多个存储库的作业。
● 企业级运行者可以在一个企业帐户中分配给多个组织。
ThunderScan®SAST GitHub Action很快将随附一个ThunderScan®SAST GitHub App,并对两者都进行持续增强。
DefenseCode ThunderScan Github Action
用法示例
ThunderScan Action利用ThunderScan API CLI客户端在自托管运行程序上运行。
安全警报样本
关于DefenceCode
DefenceCode是一家私有企业,成立于2010年。致力于提供快速,有效和易于使用的应用程序安全解决方案。我们的目标是超越威胁检测的最高标准。提供SAST,DAST的商业安全解决方案以及一系列咨询评估服务,可帮助组织衡量和改善其安全状况,客户包括银行,金融,国防和电信部门的代表。
更多信息访问:http://www.softtest.cn/
DefenseCode ThunderScan Github Action