GitHub теперь будет отправлять оповещения Dependabot об уязвимых действиях GitHub, что может упростить обновление и устранение уязвимостей безопасности в ваших рабочих процессах действий.
Действия на GitHub (откроется в новой вкладке) — это решение платформы для непрерывной интеграции и доставки (CI/CD), которое позволяет пользователям автоматизировать конвейер разработки программного обеспечения.
Новые оповещения будут основаны на базе данных рекомендаций GitHub, которая представляет собой базу данных уязвимостей безопасности, включающую общие уязвимости и риски (CVE), а также рекомендации по безопасности, созданные GitHub и взятые из мира программного обеспечения с открытым исходным кодом.
Как включить эту функцию?
Чтобы получать оповещения о действиях GitHub и уязвимостях, влияющих на ваш код, вы можете включить Dependabot, выбрав «Включить все» на вкладке «Безопасность и анализ кода».
Если вы уже используете Dependabot, не проблема, никаких дополнительных действий не требуется.
Вы также можете поделиться своей мудростью, чтобы помочь другим пользователям стать более безопасными.
Если вы являетесь владельцем действия GitHub и обнаружили уязвимость, вы можете начать процесс создания рекомендации на вкладке безопасности в своем репозитории.
После того, как рекомендации по репозиторию будут созданы и помечены в экосистеме GitHub Action, кураторская группа GitHub проверит рекомендации по репозиторию и при необходимости создаст глобальные рекомендации.
Вы можете узнать больше об управлении уязвимыми зависимостями на GitHub в разделе здесь (откроется в новой вкладке).
Github — не единственная компания, которая пытается устранить некоторые уязвимости, связанные с открытым исходным кодом, что является обычным способом для киберпреступников взломать конечные точки.
Эта тема привлекает внимание широкой технологической индустрии, что вполне объяснимо, поскольку уязвимости с открытым исходным кодом стали причиной некоторых из самых разрушительных кибератак за последние несколько лет, включая атаку Log4j.
Google недавно сказал (откроется в новой вкладке) он «продолжит делать безопасность с открытым исходным кодом приоритетом и призывать других делать то же самое, потому что работоспособность и доступность проектов с открытым исходным кодом укрепляют безопасность пользователей и разработчиков во всем мире».
- Хотите усилить безопасность вашей организации? Ознакомьтесь с нашим руководством по лучшим брандмауэрам
