GitHub Advanced Security поможет автоматически определять потенциальные уязвимости проектов.
Бесспорно, ПО с открытым исходным кодом может быть безопасным. В отличие от проприетарных разработок, прямой доступ к которым могут получить только его собственные владельцы и разработчики, любой пользователь при наличии соответствующих навыков может проверить open-source проекты на предмет уязвимостей и ошибок. Однако такая возможность — не всегда панацея. Поэтому GitHub выпускает новые инструменты в рамках пакета GitHub Advanced Security, цель которого — устранение уязвимостей в проектах с открытым исходным кодом, размещенных на платформе.
В ПО с открытым исходным кодом нередко обнаруживаются уязвимости и проблемы с безопасность. Как правило, немалая доля таких проектов существенно отличается от проприетарного ПО процессом разработки и поддержки — у разработчиков не всегда налажен алгоритм оповещения пользователей о проблемах и уязвимостях. К тому же, они вообще могут быть не в курсе, кто и как использует их код, а какая часть пользователей нуждается в патче.
Именно эту проблему и планирует решить GitHub. В рамках реализации планов по автоматическому обнаружению проблем безопасности компания еще в сентябре прошлого года приобрела Semmle, инструмент сканирования кода. Теперь этот сервис входит в пакет Advanced Security. Инструмент определяет, какая строка кода содержит потенциальную уязвимость, как она может быть использована и как ее исправить. В дополнение к автоматическому сканированию технология Semmle может также использоваться для ручного анализа безопасности. Цель GitHub — использовать Advanced Security как систему оповещения разработчиков и встроенный инструмент для поиска ошибок о проблемах безопасности.
GitHub Advanced Security также включает в себя инструменты, которые сканируют пользовательские репозитории на наличие секретных данных — таких как пароли и закрытые ключи — которые должны быть изъяты после добавления проекта в публичный репозиторий. GitHub сотрудничает с рядом партнеров, включая Amazon Web Services и Alibaba, чтобы проанализировать их токены, данные аутентификации и автоматически определять их. Эта функция уже была доступна для публичных репозиториев, но сейчас GitHub дополнительно внедряет поддержку сканирования частных репозиториев. По заявлениям представителей компании, только за последний месяц в 8% публичных репозиториев были обнаружены секретные токены.
Понравилась статья? Тогда ставьте лайк и подписывайтесь на канал, чтобы не пропускать новые выпуски!