GitHub เปิดบริการ Code scanning สำหรับการตรวจสอบความปลอดภัยโค้ดไปตั้งแต่เดือนพฤษภาคมที่ผ่านมา แต่ตอนเปิดตัวยังเป็นเบต้าวงปิด และตอนนี้ก็เปิดให้ทุกคนที่มี repository สาธารณะใช้งานแล้ว
เอนจินหลักของ Code scanning คือ CodeQL และในการเปิดบริการเป็นทางการครั้งนี้ GitHub ก็เปิดบริการเชื่อมต่อกับบริการสแกนโค้ดภายนอก เนื่องจากองค์กรจำนวนมากต้องใช้เครื่องมือเฉพาะทาง ไม่ว่าจะเป็นโครงการเดิมที่เคยใช้เครื่องมือเดิมมาก่อน, โค้ดเฉพาะด้านมากๆ เช่น โค้ดสำหรับเมนเฟรม, หรือต้องการรายงานเฉพาะด้าน
เอนจินภายนอกจะส่งผลการสแกนเข้าไปยัง GitHub ในรูปแบบ Static Analysis Results Interchange Format (SARIF) ที่เป็นมาตรฐานเปิด ทำให้ผู้ใช้ GitHub มองเห็นผลการสแกนในแท็บ Security Alerts ทันที ตอนนี้มีริษัทจำนวนมากร่วมมือกับ GitHub นำเครื่องมือมาวางบน GitHub Marketplace แล้ว
ที่มา - GitHub