Einführung in GitHub Advanced Security

  • 3 Minuten

GitHub Advanced Security (GHAS) hilft Ihnen, Sicherheitsprobleme zu finden und zu beheben, die zu technischen Schulden werden können. Es funktioniert sowohl mit GitHub als auch mit Azure DevOps, sodass Sie leistungsstarke Tools erhalten, um Ihren Code fehlerfrei zu halten.

Während GHAS sich auf Sicherheit konzentriert, hilft es Ihnen auch, technische Schulden zu entdecken. Seine Scantools finden Codeprobleme, Abhängigkeitsprobleme und Sicherheitsrisiken, die die Entwicklung im Laufe der Zeit verlangsamen.

Wie GHAS bei technischen Schulden hilft

GHAS bietet drei Haupttools, die Ihnen helfen:

  • Codeanalyse – Findet Muster, die technische Schulden erzeugen
  • Abhängigkeitsscan – Identifiziert veraltete oder riskante Abhängigkeiten
  • Sicherheitsüberprüfung – Erfasst Sicherheitsrisiken, die zu Schulden werden

Durch die frühzeitige Verwendung dieser Tools können Sie verhindern, dass technische Schulden aufgebaut werden. Dadurch bleibt Ihr Code sicher, wartbar und einfacher zu handhaben.

CodeQL-Analyse: Codeprobleme automatisch finden

CodeQL ist ein intelligentes Codeanalysetool, das in Ihrem Code nach problematischen Mustern sucht. Es hilft Ihnen, Folgendes zu finden:

  • Codierfehler, die die Entwicklung verlangsamen
  • Entwurfsfehler, die code schwierig zu verwalten machen
  • Sicherheitsrisiken wie Einfügungsangriffe
  • Authentifizierungs- und Zugriffssteuerungsprobleme

Stellen Sie sich CodeQL als Detektiv vor, der nach Hinweisen zu potenziellen Problemen in Ihrer Codebasis sucht. Es verwendet Muster, um Bereiche zu identifizieren, in denen sich technische Schulden möglicherweise verbergen.

Abhängigkeitsverwaltung: Halten Sie Ihre Abhängigkeiten fehlerfrei

Veraltete Abhängigkeiten sind eine häufige Quelle technischer Schulden. Das GHAS-Abhängigkeits-Scannen hilft Ihnen, indem es:

  • Anzeigen aller Projektabhängigkeiten an einer zentralen Stelle
  • Suchen von Paketen mit Sicherheitsrisiken
  • Identifizieren veralteter Bibliotheken, die Updates benötigen
  • Überprüfen auf Lizenzierungsprobleme

Dependabot erstellt automatisch Pullanforderungen, um anfällige Abhängigkeiten zu aktualisieren. Dadurch sparen Sie Zeit und sorgt dafür, dass Ihr Code ohne manuelle Arbeit sicher bleibt.

Codescan: Erfassen von Problemen, bevor sie Schulden werden

Die Codeüberprüfung überprüft Ihren Code automatisch auf:

  • Sicherheitsrisiken (z. B. XSS und SQL Injection)
  • Codegerüche, die auf schlechtes Design hinweisen
  • Antimuster, die Code schwer zu verwalten machen
  • Qualitätsprobleme, die die Entwicklung verlangsamen

Jeder Scan bietet klare, umsetzbare Empfehlungen. Sie werden genau sehen, was falsch ist und wie Sie es beheben können, damit Sie zuerst die wichtigsten Probleme priorisieren können.