HackerOne, Semgrep’in otomatik kod güvenliği araçlarını HackerOne PullRequest kod incelemecilerinin uzman desteğiyle birleştirmek için kod güvenliği çözümü Semgrep ile ortaklık kurduğunu duyurdu.
Güvenlik ekipleri artık kodu Semgrep aracılığıyla analiz edebilir ve PullRequest incelemecilerinin öneriler ve bağlam sağlamak için sonuçları doğrulamasını sağlayabilir. Ortaklık, döngüdeki insan testlerinin güvenlik ve geliştirme ekipleri arasındaki işbirliğini geliştirerek tüm kod inceleme sürecinin çevikliğini, ölçeklenebilirliğini ve doğruluğunu artırmasına olanak tanıyor.
Semgrep CEO’su Isaac Evans, “Geliştirme daha fazla güvenlik sorumluluğu üstlendiğinden, geliştirme ve kod güvenliği iş akışları arasındaki sürtüşme zorlu olmaya devam ediyor” dedi. “Ancak ekiplerin çevik ve güvende kalabilmesi için güvenlik ve geliştirmenin birlikte yakın bir şekilde çalışması gerekiyor. Ortak çözümümüz her iki ekibi de göz önünde bulunduruyor, böylece iş akışları işbirlikçi olmaya devam ediyor ve kod gönderimlerinin kalitesi daha hızlı oluyor.”
Modern geliştirme ekipleri, hızı engelleyen otomatikleştirilmiş araçlardan kaynaklanan hatalı pozitif sonuçlar almaya devam ederken, kaliteli kod incelemesi yüksek hızlı ekipler için ölçeklenebilirlikten yoksun olabilir. HackerOne ve Semgrep’in çözümü, çekme istekleri ve mevcut iş akışlarıyla yerel olarak bütünleşerek, işi aksatmadan ilgili ve eyleme geçirilebilir sonuçlar sunmak için modern gelişimin giderek işbirliğine dayalı yapısına uyum sağlamasına yardımcı oluyor.
Semgrep, güvenlik risklerini ortaya çıkarmak için Statik Uygulama Güvenliği Testini (SAST), Yazılım Bileşimi Analizi’ni (SCA) ve gizli taramayı kullanır; PullRequest kod incelemecileri daha sonra raporları doğrulamak, bağlam sağlamak, belirli iyileştirmeler sunmak ve ekiplerin yanıt verebilmesi için sorgulara yanıt vermek için bunları değerlendirir. hızlı bir şekilde harekete geçin.
HackerOne’ın kurucusu Alex Rice, “Güvenlik ekipleri, destekledikleri modern geliştirme ekiplerinin çevikliğine uygun çözümlere ihtiyaç duyuyor” dedi. “Semgrep ile olan ortaklığımız, yazılım ekiplerinin mevcut iş akışlarında doğru zamanda doğru öngörüleri elde etmelerini sağlıyor; bunların tümü insan incelemecilerin bağlamıyla birlikte, böylece geliştiriciler güvenilir kod yazmaya daha fazla, güvenlik araçlarıyla mücadele etmeye daha az zaman harcıyor.”