Найти в Дзене
Уловка-32
3088 подписчиков

GitHub научили предупреждать об уязвимостях в новых зависимостях

2
1 мин
Теперь GitHub может предупреждать о запросах на внесение изменений и блокировать те, в которых появляются новые зависимости, подверженные известным уязвимостям цепочки поставок. Функция обусловлена добавлением нового действия GitHub Dependency Review в существующий рабочий процесс в одном из ваших проектов. Вы можете сделать это через вкладку Actions вашего репозитория в разделе Security или прямо из GitHub Marketplace. Действие работает с помощью конечной точки API, которая поможет вам понять влияние изменений зависимостей на безопасность, прежде чем добавлять их в репозиторий при каждом запросе на извлечение. "GitHub Action автоматизирует поиск и блокировку уязвимостей, которые в настоящее время отображаются только в глубокой дифферинцировке запроса на вовлечение, - говорит Кортни Клэссенс, старший менеджер по продуктам в GitHub. Она работает путем сканирования запросов на изменение зависимостей по базе данных GitHub Advisory Database (коллекция CVE и рекомендаций с подробным описани
GitHub может предупреждать о запросах на внесение изменений / www.itkarakuli.ru
GitHub может предупреждать о запросах на внесение изменений / www.itkarakuli.ru

Теперь GitHub может предупреждать о запросах на внесение изменений и блокировать те, в которых появляются новые зависимости, подверженные известным уязвимостям цепочки поставок.

Функция обусловлена добавлением нового действия GitHub Dependency Review в существующий рабочий процесс в одном из ваших проектов. Вы можете сделать это через вкладку Actions вашего репозитория в разделе Security или прямо из GitHub Marketplace.

Действие работает с помощью конечной точки API, которая поможет вам понять влияние изменений зависимостей на безопасность, прежде чем добавлять их в репозиторий при каждом запросе на извлечение.

"GitHub Action автоматизирует поиск и блокировку уязвимостей, которые в настоящее время отображаются только в глубокой дифферинцировке запроса на вовлечение, - говорит Кортни Клэссенс, старший менеджер по продуктам в GitHub.

Она работает путем сканирования запросов на изменение зависимостей по базе данных GitHub Advisory Database (коллекция CVE и рекомендаций с подробным описанием недостатков безопасности в программном обеспечении с открытым исходным кодом) на предмет наличия уязвимостей в новых зависимостях.

"Если есть соответствие, действие выдает ошибку, чтобы вы могли увидеть, какая зависимость имеет уязвимость, и реализовать исправление с помощью предоставленной контекстной информации", - добавил Клессенс.
GitHub Обзор зависимостей в действии (Источник: GitHub)
GitHub Обзор зависимостей в действии (Источник: GitHub)

Обзор зависимостей предназначен для предоставления информации о том:

  • Какие зависимости были добавлены, удалены или обновлены, а также даты выпуска.
  • Сколько проектов используют эти компоненты
  • Данные об уязвимостях для этих зависимостей
"Проверяя обзоры зависимостей в запросе на исправление и изменяя любые зависимости, которые помечены как уязвимые, вы можете избежать добавления уязвимостей в ваш проект", - объясняет GitHub.
"Оповещения Dependabot найдут уязвимости, которые уже есть в ваших зависимостях, но гораздо лучше избежать появления потенциальных проблем, чем исправлять их позже".

Действие Dependency Review в настоящее время находится в стадии публичной бета-версии и доступно для всех публичных репозиториев и для частных репозиториев, принадлежащих организациям, использующим GitHub Enterprise Cloud с лицензией на GitHub Advanced Security.

Более подробную информацию о том, как работает Dependency Review, можно найти здесь.