Veracode optimaliseert AppSec workflows voor ontwikkelaars met nieuwe GitHub-actie

Veracode, een internationale leverancier van oplossingen voor Application Security Testing (AST), heeft een nieuwe GitHub-actie ontwikkeld waarmee ontwikkelaars op een gemakkelijke en vertrouwde manier de veiligheid van hun code tijdens het ontwikkelen kunnen borgen. Met de nieuwe actie kunnen ontwikkelaars direct binnen de UI van GitHub de Static Policy Scan workflow van Veracode uitvoeren, een pipeline scan opstarten én de resultaten van de pipeline scan analyseren.

Met GitHub CI/CD-acties verbeteren ontwikkelaars hun time-to-market door direct op het platform zelf hun code te schrijven, te testen en te implementeren. Zij kunnen met GitHub-acties de Static Analysis scans (SAST) van Veracode inzetten, waardoor de mogelijkheden voor beveiligingstesten met behulp van GitHub workflows aanzienlijk worden uitgebreid. Hiermee kunnen ze applicatiebeveiliging direct integreren in hun DevOps-processen en deze zo voor het hele team inzetten.

John Leon, VP Business Development bij GitHub: "Veracode begrijpt het belang van shift-left-testing, zodat teams op grotere schaal kwetsbaarheden kunnen vinden en repareren. Nu softwareontwikkeling in een razend tempo verloopt, stelt deze nieuwe GitHub-actie onze gezamenlijke klanten in staat om veilige software te ontwikkelen, zonder afbreuk te doen aan snelheid of kwaliteit - en dat alles binnen een vertrouwde interface".

De SAST-oplossing van Veracode ondersteunt de gehele DevSecOps pipeline met snelle, geautomatiseerde en bruikbare security feedback, van het compileren en checken van code tot een volledige policy-scan voor de implementatie. Met de nieuwe GitHub-actie hebben ontwikkelaars controle over Veracode-scans terwijl ze ontwikkelen in de GitHub-omgeving. Hierdoor krijgen ze helder advies over hoe ze ontdekte kwetsbaarheden kunnen verhelpen. Scanresultaten worden omgezet in GitHub code scanning-notificaties. Wanneer code klaar is voor implementatie, kunnen ontwikkelaars de Veracode Policy Scan starten voor een volledige evaluatie van de code, inclusief een auditlog voor compliance-doeleinden. Dit auditlog kan in een voorbeeldweergave worden bekeken zonder dat er automatische waarschuwingen worden afgegeven. Resultaten van Veracode-scans zijn in hoge mate nauwkeurig, zelfs zonder de noodzaak van handmatige aanpassingen, dankzij de beschikbare informatie in Veracodes SaaS-platform dat tot op heden al meer dan 21 biljoen regels code heeft gescand.

“Veilige ontwikkeling is alleen mogelijk op grote schaal wanneer ontwikkelaars vanaf het begin de verantwoordelijkheid nemen voor de veiligheid van hun code. Het is daarom van cruciaal belang dat we tools en integraties bieden die het werk van een ontwikkelaar versimpelen en de nodige functionaliteiten beschikbaar maken binnen de tools die ze dagelijks gebruiken. Onze nieuwe GitHub-actie biedt een naadloze ervaring die ontwikkelaars tijd bespaart, en hen ervan verzekert dat de code die ze schrijven veilig is.”

Veracode tools zijn beschikbaar als GitHub-acties in de GitHub Marketplace.