GitHub helpt je code te scannen op kwetsbaarheden

Het plan van Microsofts site en service voor ontwikkelaars is om in de komende zes maanden meer talen te ondersteunen. "Bij GitHub willen we het makkelijk maken om veilige software te ontwikkelen", schrijft productmarketingmanager Walker Chabbott van GitHub. Dat streven komt neer op het bouwen van beveiligingstools die developers een frictieloze ervaring bieden, zo legt hij uit.

Geheimen en afhankelijkheden

Het ontwikkelplatform biedt al de mogelijkheid om code te scannen op zogeheten 'secrets', zoals bijvoorbeeld inloggegevens die harcoded zijn opgenomen in software. De aanwezigheid van zulke geheimen kan dan onbevoegden toegang geven tot applicaties, systemen en zelfs complete cloudomgevingen.

Daarnaast heeft GitHub al een paar jaar de functie Dependabot die ervoor zorgt dat afhankelijkheden (dependancies) in code worden bijgewerkt. Voor veilige code is dit noodzakelijk updatewerk maar veel developers ervaren het als een flinke last, aldus GitHub in 2020. Dit hulpmiddel voor betere beveiliging van ontwikkelde code is door een overname in handen gekomen van Microsofts overname uit 2018.

Zonder of met YAML

Bovenop deze mogelijkheden komt nu een nieuwe scanoptie, die code doorneemt op mogelijke kwetsbaarheden. Developers kunnen dit direct doen zonder dat er een .yaml-bestand nodig is, maar via geavanceerde instellingen kunnen ze zo'n bestand voor configuratie zelf aandragen. Na een scan krijgen ontwikkelaars de resultaten waarmee ze dan hun code kunnen verbeteren.