Обновление GitHub поможет вам устранить скрытые ошибки безопасности в вашем коде

Обновление GitHub поможет вам устранить скрытые ошибки безопасности в вашем коде

14 августа 2022 г.

GitHub теперь будет отправлять оповещения Dependabot об уязвимых действиях GitHub, что может упростить обновление и устранение уязвимостей безопасности в ваших рабочих процессах действий.

GitHub Actions – это решение платформы для непрерывной интеграции и доставки (CI/CD), которое позволяет пользователям автоматизировать конвейер разработки программного обеспечения.

Новые оповещения будут основаны на базе данных рекомендаций GitHub, которая представляет собой базу данных уязвимостей безопасности, включающую общие уязвимости и риски (CVE), а также рекомендации по безопасности GitHub, взятые из мира программного обеспечения с открытым исходным кодом.< /p>

Как включить эту функцию?

Чтобы получать оповещения о действиях GitHub и уязвимостях, влияющих на ваш код, вы можете включить Dependabot, выбрав «Включить все» на вкладке «Безопасность и анализ кода».

Если вы уже используете Dependabot, нет проблема, никаких дополнительных действий не требуется.

Вы также можете поделиться своей мудростью, чтобы помочь другим пользователям стать более безопасными.

Если вы являетесь владельцем действия GitHub и вы обнаружить уязвимость, вы можете начать процесс создания рекомендации на вкладке безопасности в вашем репозитории.

После того, как рекомендации по репозиторию будут созданы и помечены в экосистеме GitHub Action, кураторская группа GitHub рассмотрит рекомендации по репозиторию и при необходимости создаст глобальные рекомендации.

Вы можете узнать больше об управлении уязвимыми зависимостями на GitHub, зайдя здесь.

ПОДРОБНЕЕ:

> Последнее обновление GitHub решает основные проблемы разработчиков< /a>

>
Github закрывает один из своих самых популярных инструментов разработки

>
Наше руководство по лучшим ноутбукам для разработчиков

Github — не единственная компания, которая стремится устранить некоторые уязвимости, связанные с открытым исходным кодом, что является обычным способом для киберпреступников взломать конечные точки.

Эта тема привлекает внимание широкой технологической отрасли, что вполне понятно, поскольку уязвимости с открытым исходным кодом причины некоторых из самых разрушительных кибератак за последние несколько лет, включая атаку Log4j.

Google недавно заявил, что "продолжит уделять приоритетное внимание безопасности с открытым исходным кодом и будет призывать других делать то же самое, потому что работоспособность и доступность открытых исходные проекты укрепляют безопасность отношение пользователей и разработчиков во всем мире».

  • Хотите усилить безопасность своей организации? Ознакомьтесь с нашим руководством по лучшим брандмауэрам

Оригинал