GitHub artık bilinen tedarik zinciri güvenlik açıklarından etkilenen yeni bağımlılıklar getiren çekme isteklerini engelleyebilir ve sizi uyarabilir.
Bu, yeni eklenerek elde edilir. Bağımlılık İncelemesi GitHub Eylemi projelerinizden birinde mevcut bir iş akışına. Bunu, deponuzun Güvenlik altındaki Eylemler sekmesinden veya doğrudan GitHub Marketplace’ten yapabilirsiniz.
Bir yardımı ile çalışır API uç noktası bu, her çekme isteğinde bunları deponuza eklemeden önce bağımlılık değişikliklerinin güvenlik etkisini anlamanıza yardımcı olacaktır.
GitHub Kıdemli Ürün Müdürü Courtney Claessens, “GitHub Eylemi, şu anda yalnızca bir çekme isteğinin zengin farklılığında görüntülenen güvenlik açıklarını bulmayı ve engellemeyi otomatik hale getiriyor” dedi.
Karşı bağımlılık değişiklikleri için çekme isteklerini tarayarak çalışır. GitHub Danışma Veritabanı (açık kaynaklı yazılımlardaki güvenlik kusurlarını detaylandıran bir CVE ve tavsiyeler koleksiyonu) yeni bağımlılıkların güvenlik açıkları oluşturup oluşturmadığını görmek için.
Claessens, “Yaparlarsa, eylem, hangi bağımlılığın bir güvenlik açığı olduğunu görebilmeniz ve düzeltmeyi sağlanan bağlamsal zeka ile uygulayabilmeniz için bir hata oluşturacaktır.”
Bağımlılık incelemesi, aşağıdakiler hakkında bilgi sağlamak için tasarlanmıştır:
- Yayın tarihleriyle birlikte hangi bağımlılıkların eklendiği, kaldırıldığı veya güncellendiği
- Bu bileşenleri kaç proje kullanıyor?
- Bu bağımlılıklar için güvenlik açığı verileri
GitHub, “Bir çekme isteğindeki bağımlılık incelemelerini kontrol ederek ve savunmasız olarak işaretlenen tüm bağımlılıkları değiştirerek, projenize güvenlik açıklarının eklenmesini önleyebilirsiniz” diye açıklıyor.
“Dependabot uyarıları, zaten bağımlılıklarınızda bulunan güvenlik açıklarını bulacaktır, ancak olası sorunları ortaya çıkarmaktan kaçınmak, sorunları daha sonraki bir tarihte düzeltmekten çok daha iyidir.”
Bağımlılık İnceleme eylemi şu anda genel beta sürümündedir ve GitHub Gelişmiş Güvenlik lisansıyla GitHub Enterprise Cloud kullanan kuruluşlara ait tüm genel havuzlar ve özel havuzlar için kullanılabilir.
Bağımlılık İncelemesinin nasıl çalıştığı hakkında daha fazla bilgi bulabilirsiniz burada. GitHub ayrıca, eylemin ayrıntılarıyla ilgili ayrıntılı kurulum adımları sağlar. pazar yeri girişi.
GitHub ayrıca Pazartesi günü yaptığı açıklamada, GitHub Advanced Security müşterileri için kod barındırma platformunun gizli tarama yeteneklerini genişlettiğini duyurdu. kimlik bilgilerinin yanlışlıkla açığa çıkmasını önlemek uzak depolara kod göndermeden önce.