Теперь инструмент Dependabot предупреждает разработчиков об уязвимых GitHub Actions

Пт 12 Август 2022 05:47

С этим нововведением разработчики будут получать предупреждения о действиях в GitHub Actions, которые влияют на код разработчика. Причем, теперь такие предупреждения могут отправлять и пользователи, придерживаясь последовательного процесса раскрытия информации.

Согласно заявлению компании, подобные нововведения укрепляют безопасность GitHub и пользователей площадки, поэтому компания продолжит работать над укреплением связей между решениями, обеспечивающими безопасность цепочек поставок и GitHub Actions.

GitHub Actions – бесплатная для публичных репозиториев система непрерывной интеграции. С ее помощью можно легко автоматизировать процесс сборки, тестирования и развертывания программного обеспечения.

Dependabot – сервис для обеспечения безопасности проектов. Dependabot встроен в GitHub и является бесплатным. Сервис позволяет отслеживать уязвимости в зависимостях, отправлять владельцам репозиториев предупреждения о наличии проблем в зависимости и автоматически открывать pull-запросы для исправления выявленных уязвимостей.

Напомним, недавно на обсуждение в GitHub была выставлена идея внедрения Sigstore для верификации NPM-пакетов. По мнению команды NPM, внедрение Sigstore поможет уменьшить риск проведения атак, нацеленных на подмену программных компонентов и зависимостей (supply chain).

Статья уведена с www.securitylab.ru.

NetLan.ru жив уже 16 лет 255 дней 12 часов 24 минуты 49 секунд
СМК NetLan (Nettlesome Landloper) — некоммерческий интернет-ресурс.
Весь данный интернет-ресурс и всё созданное или размещённое на нём используется в личных целях.