Github advertirá desenvolvedores sobre dependências vulneráveis ​​em seus projetos

Github advertirá desenvolvedores sobre dependências vulneráveis ​​em seus projetos

DARKNET BRASIL

O GitHub - o maior serviço de hospedagem de código da Internet - está lançando um novo recurso de segurança através do qual espera reduzir o número de projetos vulneráveis ​​hospedados e distribuídos por meio de sua plataforma.

Este novo recurso de segurança não possui um nome especial, mas está sendo adicionado a um recurso GitHub conhecido como o Gráfico de Dependência.

O Gráfico de Dependência é uma seção na guia "Insights" de cada projeto GitHub. O gráfico mostra uma estrutura em árvore de todas as bibliotecas que são carregadas dentro de um projeto de codificação com base em arquivos de manifesto incluídos em cada projeto.

Atualmente apoiando projetos de JavaScript e Ruby. Python em 2018.

Atualmente, o Gráfico de Dependência suporta arquivos package.json (para projetos JavaScript) e gemfiles (para projetos Ruby) e está programado para adicionar suporte para o Python no próximo ano.

O novo recurso de segurança adicionado ao Gráfico de Dependência é um sistema de alerta que alertará os usuários quando uma das bibliotecas dependentes carregadas através desses arquivos manifestos forem afetadas por vulnerabilidades conhecidas publicamente. O GIF abaixo mostra como esses alertas funcionam.

O Gráfico de Dependência também enviará notificações de e-mail sempre que um projeto for atualizado para usar uma dependência (biblioteca) vulnerável ou o GitHub atualizar seu banco de dados com informações sobre novas vulnerabilidades.

O diretor do produto Miju Han da GitHub diz que os engenheiros da GitHub usarão primeiro o sistema de identificação de vulnerabilidades CVE para acompanhar erros de segurança conhecidos, mas também prometem enviar alertas para vulnerabilidades bem conhecidas para as quais pesquisadores de segurança não obtiveram um número de identificação CVE .

Os usuários que buscam um scanner de vulnerabilidades (um pouco) semelhantes para gráficos de dependência usados ​​com projetos baseados em PHP Composer podem usar o projeto SecurityAdvisoriespelo Roave.

Uma característica bem-vinda

O novo recurso da GitHub, anunciado ontem, foi um sucesso com pesquisadores e desenvolvedores de segurança, que o acolheram com os braços abertos.

Fonte: BleepingComputer





Report content on this page

Report Page

Please submit your DMCA takedown request to dmca@telegram.org