それは何ですか?
GitHubとの統合により、開発チームは迅速かつ自信を持って脆弱性の問題を解決することができます。
なぜこれを作ったのか?
開発者が脆弱性を迅速に解決し、セキュアコーディングを継続的に学習できるようにするためです。
必要なときに、必要な場所で、関連するコンテンツを提供することで、私たちの統合は、コードをスキャンして問題を表示するだけでなく、解決するための助けなしにフローにとどまることを支援するソリューションの一部となります。
最終的には、継続的に学習することで、最初からセキュアなコードを書くスキルを身につけ、コードベースの脆弱性を減らすことができます。
どのように機能するのか?
課題、プルリクエスト、コメントで脆弱性情報が見つかると、統合は SCW の Direct Linking API を使って SCW の学習プラットフォームから最も関連性の高い学習コンテンツを GitHub にもたらし、コメントとして追加します。
コンテンツの関連性は、課題またはプルリクエストのタイトル、本文、ラベル、コメントで見つかった Common Weakness Enumeration (CWE) または Open Web Application Security Project (OWASP) の参照に基づいて判断されます。これらの参照が見つからない場合は、「SQLインジェクション」や「XSS」などの一般的な脆弱性の名前やフレーズも検索します。
プルリクエストコメント内のSCWコンテンツ
課題コメント内の SCW コンテンツ
インストールと設定
GitHub プラグインはGitHub Marketplace からダウンロードできます。
設定に関する詳しいドキュメントはこちらをご覧ください。
統合によってどのようなデータが送信・保存されますか?
完全なプライバシーポリシーについては、メインウェブサイトの Trust Center をご覧ください。
何が SCW に送信され、収集されますか?
- 一般的な使用統計 (開封、クリック) ソース情報(リポジトリ名と所有者)
-
一致した脆弱性情報 ソース情報なし ソース情報なし
SCWに送信されるが収集されないものは?
- 課題およびプルリクエストのタイトル、本文、コメント、ラベル、注釈は、学習リソースを特定するためにSCWに送信されますが、脆弱性の参照をスキャンした後に破棄されます。
有用なリンク
- 概要:https://www.securecodewarrior.com/products/scw-for-github
- GitHub Marketplace:https://github.com/marketplace/secure-code-warrior-for-github
- 設定ガイド:https://help.securecodewarrior.com/hc/en-us/articles/900001737346-Secure-Code-Warrior-for-Github-Issues-Configuration-Guide
- ブログ記事私のワークフローを中断するのはやめてください!適切なタイミングで適切なセキュリティトレーニングを受ける方法
コメント
0件のコメント
サインインしてコメントを残してください。