DefenseCode集团宣布,DefenseCode静态应用程序安全测试(SAST)ThunderScan解决方案现可作为一个GitHub Action,提供30多种语言的安全漏洞分析,并将详细的漏洞报告集成到GitHub中。

DefenseCodeThunderScan是SAST(静态应用程序安全测试,白盒测试)解决方案,用于对应用程序源代码进行深入而广泛的安全性分析。ThunderScan易于使用,几乎不需要用户输入,可以轻松集成到DevOps环境和CI / CD管道中,并且可以在开发期间或开发之后进行部署。

借助ThunderScanSAST,很容易满足合规标准要求,例如PCI-DSS,SANS / CWE前25名,OWASP前10名,HIPPA,HITRUST或NIST。

GitHub是一个开发者协作平台,拥有超过5000万用户,300万组织和超过1亿个回购协议。它最近宣布了其代码扫描功能的全面可用性,这是一种开发者优先、GitHub原生方法,可以在代码中的安全漏洞正式投入生产之前轻松地找到它们。

对静态分析结果交换格式(SARIF)的新增支持,由ThunderScanGitHub Action自动上传,使开发人员可以通过直接在GitHub代码扫描界面中查看分析安全漏洞。代码扫描会在创建代码自动进行,也可以在请求时触发安全性检查。它还可以防止开发人员引入新的漏洞。扫描可以安排在特定的日期和时间,也可以由类似代码入库等的特定事件自动触发。

DefenseCode客户现在可以运行GitHub提供的跨平台自托管运行程序,以自定义用于在GitHub Actions工作流程中运行ThunderScanAction作业的环境。

ThunderScanSAST具有专用的REST API客户端,可通过带有参数的GitHub Action调用该客户端,以对目标存储库运行分析。

在管理层次结构的各个级别上可添加自托管运行器:

● 存储库级运行程序专用于单个存储库。
● 组织级运行者可处理组织中多个存储库的作业。
● 企业级运行者可以在一个企业帐户中分配给多个组织。

ThunderScanSAST GitHub Action很快将随附一个ThunderScanSAST GitHub App,并对两者都进行持续增强。

 DefenseCode ThunderScan Github Action

用法示例

ThunderScan Action利用ThunderScan API CLI客户端在自托管运行程序上运行。

安全警报样本

关于DefenceCode

DefenceCode是一家私有企业,成立于2010年。致力于提供快速,有效和易于使用的应用程序安全解决方案。我们的目标是超越威胁检测的最高标准。提供SAST,DAST的商业安全解决方案以及一系列咨询评估服务,可帮助组织衡量和改善其安全状况,客户包括银行,金融,国防和电信部门的代表。

更多信息访问:http://www.softtest.cn/

 DefenseCode ThunderScan Github Action

DefenseCode宣布集成GitHub为开发人员提供SAST解决方案的更多相关文章

  1. 国内及Github优秀开发人员列表

    自从入了Android软件开发的行道,解决问题和学习过程中免不了会参考别人的思路,浏览博文和门户网站成了最大的入口.下面这些列表取名为:国内及Github优秀开发人员列表,就是浏览后的成果. 虽然下述 ...

  2. 每个Java开发人员都应该知道的10个基本工具

    大家好,我们已经在2019年的第9个月,我相信你们所有人已经在2019年学到了什么,以及如何实现这些目标.我一直在写一系列文章,为你提供一些关于你可以学习和改进的想法,以便在2019年成为一个更好的. ...

  3. .NET开发人员值得关注的七个开源项目 .

    NET开发人员值得关注的七个开源项目 软近几年在.NET社区开源项目方面投入了相当多的时间和资源,不禁让原本对峙的开源社区阵营大吃一惊,从微软.NET社区中的反应来看,微软.NET开发阵营对开源工具的 ...

  4. DevStore开发人员服务有奖征文:小谈新浪微博开放平台

    DevStore开发人员服务有奖征文:小谈新浪微博开放平台 笔者接入新浪微博开发平台也有一段时间了,对整个平台的接入也算比較熟悉,新浪提供了统一的API接口,能够让开发人员更方便的使用API来实现自己 ...

  5. 面向开发人员的Windows错误报告(WER)

    Windows错误报告是更新的Windows XP上Dr.Watson的替代品.它监视故障并收集可以发送到要分析的服务器(如果用户允许)的有用信息.这项功能帮助微软修复了很多错误——由于收到的报告,微 ...

  6. 打造强势智能手表平台:Testin云測携手索尼招募全球开发人员

    打造强势智能手表平台:Testin云測携手索尼招募全球开发人员 2014/10/27 · Testin · 业界资讯 日前,全球最大的移动游戏.应用真机和用户云測试平台Testin云測宣布联手索尼公司 ...

  7. 开发人员为组件添加自定义的className

    在开发过程当中需要给组件写上自己的样式,这个时候怎么办呢? 直接给组件添加className这样是无效的 当给组件添加className之后 在写组件的时候需要对使用你的组件的开发人员提供自定义cla ...

  8. 每个Java开发人员都应该知道的4个Spring注解

    这是每个Java开发人员都应该知道的最重要的Spring注解.感谢优锐课老师对本文提供的一些帮助. 随着越来越多的功能被打包到单个应用程序或一组应用程序中,现代应用程序的复杂性从未停止增长.尽管这种增 ...

  9. 怎样配置git ssh连接,怎样在GitHub上加入协作开发人员,怎样配置gitignore和怎样在GitHub上删除资源库.

    **********1.在运行git push origin master指令时报例如以下错误: iluckysi@ILUCKYSI-PC /d/ilucky/message/code (master ...

随机推荐

  1. volatile域浅析

    内存模型的相关概念 计算机中执行程序时,每条指令都是在CPU中执行,执行指令的过程必然会涉及到数据的读取和写入.而程序运行时的数据是存放在主存(物理内存)中,由于CPU的读写速度远远高于内存的速度,如 ...

  2. TensorFlow之张量

    张量的概念 TensorFlow中的Tensor就是张量,张量是数学对象,是对标量.向量.矩阵的泛化.我们可以直接理解成张量就是列表,就是多维数组. 张量的维数用阶来表示: 0阶张量 标量 单个值 例 ...

  3. JS实现简单的多选选项的全选反选按钮

    1 <!DOCTYPE html> 2 <html> 3 <head lang="en"> 4 <!-- 5 需求: 6 1.写三个按钮: ...

  4. 基于C#的内网穿透学习笔记(附源码)

    如何让两台处在不同内网的主机直接互连?你需要内网穿透!          上图是一个非完整版内外网通讯图由内网端先发起,内网设备192.168.1.2:6677发送数据到外网时候必须经过nat会转换成 ...

  5. java进阶(23)--List接口

    一.基本概念 1.有序可重复 2.有下标 3.包含ArraList.LinkedList.Vector   二.List中特有的方法 且常用 (以下军均为数组通用方法) 1.void add(int ...

  6. POI和easyExcel

    POI与easyExcel 这个东西一般用来做什么? 将用户信息导出为Excel表格(导出数据) 将Excel表中的信息录入到网站数据库(比如一些习题上传) 在开发过程中会遇到对Excel的处理,比如 ...

  7. php 图片转base4的格式

    <?php $url = '1.jpg'; $base64_img = base64_encode(file_get_contents($url));//将图片转base64编码 $imgArr ...

  8. Android小部件Widget开发过程中的坑和总结

    @ 目录 概述 官方参考 效果图 AndroidManifest.xml Receiver Service Options res/xml/ widget_desktop_options.xml 常用 ...

  9. mysqldump 5.7

    简介 mysqldump是官方自带的文本格式备份工具,简单实用,一般在Mysql安装目录的bin目录下.备份文件默认是SQL格式,它由一系列语句例如CREATE TABLE.INSERT等组成.mys ...

  10. 机器学习可解释性系列 - 是什么&为什么&怎么做

    机器学习可解释性分析 可解释性通常是指使用人类可以理解的方式,基于当前的业务,针对模型的结果进行总结分析: 一般来说,计算机通常无法解释它自身的预测结果,此时就需要一定的人工参与来完成可解释性工作: ...