DefenseCode宣布集成GitHub为开发人员提供SAST解决方案

DefenseCode集团宣布，DefenseCode静态应用程序安全测试（SAST）ThunderScan®解决方案现可作为一个GitHub Action，提供30多种语言的安全漏洞分析，并将详细的漏洞报告集成到GitHub中。

DefenseCodeThunderScan®是SAST（静态应用程序安全测试，白盒测试）解决方案，用于对应用程序源代码进行深入而广泛的安全性分析。ThunderScan®易于使用，几乎不需要用户输入，可以轻松集成到DevOps环境和CI / CD管道中，并且可以在开发期间或开发之后进行部署。

借助ThunderScan®SAST，很容易满足合规标准要求，例如PCI-DSS，SANS / CWE前25名，OWASP前10名，HIPPA，HITRUST或NIST。

GitHub是一个开发者协作平台，拥有超过5000万用户，300万组织和超过1亿个回购协议。它最近宣布了其代码扫描功能的全面可用性，这是一种开发者优先、GitHub原生方法，可以在代码中的安全漏洞正式投入生产之前轻松地找到它们。

对静态分析结果交换格式（SARIF）的新增支持，由ThunderScan®GitHub Action自动上传，使开发人员可以通过直接在GitHub代码扫描界面中查看分析安全漏洞。代码扫描会在创建代码自动进行，也可以在请求时触发安全性检查。它还可以防止开发人员引入新的漏洞。扫描可以安排在特定的日期和时间，也可以由类似代码入库等的特定事件自动触发。

DefenseCode客户现在可以运行GitHub提供的跨平台自托管运行程序，以自定义用于在GitHub Actions工作流程中运行ThunderScan®Action作业的环境。

ThunderScan®SAST具有专用的REST API客户端，可通过带有参数的GitHub Action调用该客户端，以对目标存储库运行分析。

在管理层次结构的各个级别上可添加自托管运行器：

● 存储库级运行程序专用于单个存储库。
● 组织级运行者可处理组织中多个存储库的作业。
● 企业级运行者可以在一个企业帐户中分配给多个组织。

ThunderScan®SAST GitHub Action很快将随附一个ThunderScan®SAST GitHub App，并对两者都进行持续增强。

DefenseCode ThunderScan Github Action

用法示例

ThunderScan Action利用ThunderScan API CLI客户端在自托管运行程序上运行。