DefenseCode集团宣布,DefenseCode静态应用程序安全测试(SAST)ThunderScan解决方案现可作为一个GitHub Action,提供30多种语言的安全漏洞分析,并将详细的漏洞报告集成到GitHub中。

DefenseCodeThunderScan是SAST(静态应用程序安全测试,白盒测试)解决方案,用于对应用程序源代码进行深入而广泛的安全性分析。ThunderScan易于使用,几乎不需要用户输入,可以轻松集成到DevOps环境和CI / CD管道中,并且可以在开发期间或开发之后进行部署。

借助ThunderScanSAST,很容易满足合规标准要求,例如PCI-DSS,SANS / CWE前25名,OWASP前10名,HIPPA,HITRUST或NIST。

GitHub是一个开发者协作平台,拥有超过5000万用户,300万组织和超过1亿个回购协议。它最近宣布了其代码扫描功能的全面可用性,这是一种开发者优先、GitHub原生方法,可以在代码中的安全漏洞正式投入生产之前轻松地找到它们。

对静态分析结果交换格式(SARIF)的新增支持,由ThunderScanGitHub Action自动上传,使开发人员可以通过直接在GitHub代码扫描界面中查看分析安全漏洞。代码扫描会在创建代码自动进行,也可以在请求时触发安全性检查。它还可以防止开发人员引入新的漏洞。扫描可以安排在特定的日期和时间,也可以由类似代码入库等的特定事件自动触发。

DefenseCode客户现在可以运行GitHub提供的跨平台自托管运行程序,以自定义用于在GitHub Actions工作流程中运行ThunderScanAction作业的环境。

ThunderScanSAST具有专用的REST API客户端,可通过带有参数的GitHub Action调用该客户端,以对目标存储库运行分析。

在管理层次结构的各个级别上可添加自托管运行器:

● 存储库级运行程序专用于单个存储库。
● 组织级运行者可处理组织中多个存储库的作业。
● 企业级运行者可以在一个企业帐户中分配给多个组织。

ThunderScanSAST GitHub Action很快将随附一个ThunderScanSAST GitHub App,并对两者都进行持续增强。

 DefenseCode ThunderScan Github Action

用法示例

ThunderScan Action利用ThunderScan API CLI客户端在自托管运行程序上运行。

安全警报样本

关于DefenceCode

DefenceCode是一家私有企业,成立于2010年。致力于提供快速,有效和易于使用的应用程序安全解决方案。我们的目标是超越威胁检测的最高标准。提供SAST,DAST的商业安全解决方案以及一系列咨询评估服务,可帮助组织衡量和改善其安全状况,客户包括银行,金融,国防和电信部门的代表。

更多信息访问:http://www.softtest.cn/

 DefenseCode ThunderScan Github Action

DefenseCode宣布集成GitHub为开发人员提供SAST解决方案的更多相关文章

  1. 国内及Github优秀开发人员列表

    自从入了Android软件开发的行道,解决问题和学习过程中免不了会参考别人的思路,浏览博文和门户网站成了最大的入口.下面这些列表取名为:国内及Github优秀开发人员列表,就是浏览后的成果. 虽然下述 ...

  2. 每个Java开发人员都应该知道的10个基本工具

    大家好,我们已经在2019年的第9个月,我相信你们所有人已经在2019年学到了什么,以及如何实现这些目标.我一直在写一系列文章,为你提供一些关于你可以学习和改进的想法,以便在2019年成为一个更好的. ...

  3. .NET开发人员值得关注的七个开源项目 .

    NET开发人员值得关注的七个开源项目 软近几年在.NET社区开源项目方面投入了相当多的时间和资源,不禁让原本对峙的开源社区阵营大吃一惊,从微软.NET社区中的反应来看,微软.NET开发阵营对开源工具的 ...

  4. DevStore开发人员服务有奖征文:小谈新浪微博开放平台

    DevStore开发人员服务有奖征文:小谈新浪微博开放平台 笔者接入新浪微博开发平台也有一段时间了,对整个平台的接入也算比較熟悉,新浪提供了统一的API接口,能够让开发人员更方便的使用API来实现自己 ...

  5. 面向开发人员的Windows错误报告(WER)

    Windows错误报告是更新的Windows XP上Dr.Watson的替代品.它监视故障并收集可以发送到要分析的服务器(如果用户允许)的有用信息.这项功能帮助微软修复了很多错误——由于收到的报告,微 ...

  6. 打造强势智能手表平台:Testin云測携手索尼招募全球开发人员

    打造强势智能手表平台:Testin云測携手索尼招募全球开发人员 2014/10/27 · Testin · 业界资讯 日前,全球最大的移动游戏.应用真机和用户云測试平台Testin云測宣布联手索尼公司 ...

  7. 开发人员为组件添加自定义的className

    在开发过程当中需要给组件写上自己的样式,这个时候怎么办呢? 直接给组件添加className这样是无效的 当给组件添加className之后 在写组件的时候需要对使用你的组件的开发人员提供自定义cla ...

  8. 每个Java开发人员都应该知道的4个Spring注解

    这是每个Java开发人员都应该知道的最重要的Spring注解.感谢优锐课老师对本文提供的一些帮助. 随着越来越多的功能被打包到单个应用程序或一组应用程序中,现代应用程序的复杂性从未停止增长.尽管这种增 ...

  9. 怎样配置git ssh连接,怎样在GitHub上加入协作开发人员,怎样配置gitignore和怎样在GitHub上删除资源库.

    **********1.在运行git push origin master指令时报例如以下错误: iluckysi@ILUCKYSI-PC /d/ilucky/message/code (master ...

随机推荐

  1. 不定方程(Exgcd)

    #include<cstdio> using namespace std; int x,y; inline int abs(int a){return a>?a:-a;} int e ...

  2. in多值优化

    〇.问题 今天ocp群里有人问 SELECT * FROM table WHERE id IN(11,2,3,44,...) 在in里面有大量数据4000+,有什么 好的处理方式吗? 我的优化方案的总 ...

  3. JMeter5.0在windows(含插件安装)

    一.jmeter下载 前提:已经安装jdk8+ jmeter下载地址:http://jmeter.apache.org/download_jmeter.cgi 有Binaries和Source版本 前 ...

  4. redis命令和RedisTemplate操作对应表

    redis命令和RedisTemplate操作对应表 redisTemplate.opsForValue();//操作字符串 redisTemplate.opsForHash();//操作hash r ...

  5. 1.KafKa-介绍

  6. Vue+Java+Base64实现条码解析

    前端部分(Vue + Vant) 引入Vant.使用Vant中的Uploader组件上传文件(支持手机拍照) import Vue from 'vue'; import { Uploader } fr ...

  7. windows服务器中创建账号及管理相关的net命令

    本文测试环境:windows server 2012 R2 Datacenter 实例要求: 1.创建账号,加入到远程桌面组,能实现远程桌面登录 2.指定Full name .及Description ...

  8. SpringBoot普通消息队列线程池配置

    1 package com.liuhuan.study.config; 2 3 import com.google.common.util.concurrent.ThreadFactoryBuilde ...

  9. Spring学习(二)Spring IoC 和 DI 简介

    一.IOC(控制反转) 定义:反转控制 (Inversion Of Control)的缩写,即创建对象的反转控制. 正向控制:若要使用某个对象,需要自己去负责对象的创建. 反向控制:若要使用某个对象, ...

  10. Oracle学习(五)DBLINK

    一.DBLINK学习 目的:为了解决跨库访问的需求. 场景如下:tnsnames.ora(oracle的库配置文件)下配置了2个库的环境地址,现在要实现跨库访问. PS:DBLINK和是否同一个主机无 ...