Крупнейший сайт код-хостинга в мире GitHub анонсировал улучшенные инструменты безопасности для разработчиков продукта с открытым исходным кодом. Изменения стали результатом сотрудничества GitHub с WhiteSource – платформой с открытым исходным кодом для управления безопасностью и соблюдением лицензий.
Улучшенные инструменты
Большинство программных проектов зависят от открытого исходного кода, отмечают в GitHub. Повторное использование кода помогает совершенствовать программное обеспечение, но увеличивает риск распространения уязвимостей. Важно, чтобы каждый разработчик уделял внимание безопасности и быстро исправлял уязвимый код.
Несколько новых инструментов от GitHub, которые обезопасят работу программистов:
- оповещения об уязвимостях теперь доступны с углубленными данными от WhiteSource;
- анализ зависимостей. Когда уязвимость публикуется, предприятиям требуются инструменты для аудита зависимостей и понимания их уязвимости, поэтому теперь компании получат полный отчет об уязвимостях и лицензиях с открытым исходным кодом;
- функция сканирования токенов вышла в релиз и поддерживает больше форматов, в том числе от Alibaba Cloud, Mailgun и Twilio.
Принцип работы аналитики от WhiteSource
Частное рабочее пространство для исправления и рекомендаций по безопасности
Пользователи GitHub могут оставлять советы по безопасности для специалистов проекта без администраторских прав. Советы помогут создать предварительные рекомендации по безопасности и устранять уязвимости вместе с коллегами.
Эта функция находится в бета-версии, и пока создавать рекомендации могут только администраторы. Но в результате тестирования пользователи без «админских» прав смогут сообщать о проблемах в коде с помощью создания рекомендаций.
Принцип работы советов по безопасности для сопровождающих специалистов
Автоматические исправления с Dependabot
Dependabot – инструмент, который отслеживает уязвимости в зависимостях кода и открывает запросы на их обновление до минимально необходимой версии. Инструмент загружает файлы зависимостей и ищет устаревшие или небезопасные требования. Если какая-то зависимость устарела, Dependabot открывает отдельные запросы на получение обновлений для каждой из них. Разработчик контролирует прохождение всех тестов, сканирует журнал изменений и заметки о выпуске, а затем нажимаете кнопку слияния.
«Автоматизированные исправления безопасности открываются Dependabot от имени GitHub. Приложение Dependabot GitHub автоматически устанавливается в каждом хранилище, где включены автоматические исправления безопасности», – отметили в компании.
Политика безопасности в репозиториях
Разработчики могут связываться с пользователями и сообщать им о политике безопасности, которой они должны следовать. Организация может создать единую политику безопасности, которая автоматически применяется к каждому ее репозиторию.
Чтобы оповестить пользователей об уязвимостях в проекте, разработчики могут добавить файл SECURITY.md в корень репозитория. Когда кто-то создает вопрос в хранилище, он увидит ссылку на политику безопасности проекта.
«Проблемы, стоящие перед современным программным обеспечением, являются проблемами сообщества. Благодаря возможностям, которые GitHub поддерживает в качестве платформы разработки программного обеспечения, мы несем ответственность за защиту сообщества от угроз и повышение безопасности для всех», – говорится в пресс-релизе компании.
