Biztonsági újdonságok a GitHubon

A GitHub több biztonsági újdonságot is bejelentett, amik igencsak hasznosak lehetnek a fejlesztők számára.
 

A GitHub 2017-ben indította útjára azt a szolgáltatását, amelynek segítségével a fejlesztők riasztásokat kaphatnak a különféle alkalmazásaikban, projektjeikben helyet kapó elavult, sérülékeny szoftveres összetevőkről. Ennek köszönhetően gyorsabban tudnak reagálni a frissítésekre, és egyben fürgébben adhatják ki a saját szoftvereik javított verzióit. Az üzemeltetők szerint a szolgáltatás megjelenése óta észrevehető mértékben csökkent a sérülékeny szoftverkönyvtárak száma a GitHubon. Így aztán a sikereken felbuzdulva a GitHubot tulajdonló Microsoft megállapodást kötött a WhiteSource-szal. Ennek köszönhetően a nyílt forráskódú projektek még szélesebb köre számára vált elérhetővé a sebezhetőségekkel kapcsolatos riasztási rendszer, illetve az eddigieknél több információt kaphatnak a fejlesztők az esetleges biztonsági problémákról. 

Az átláthatóságot tovább fokozza a Dependency Insights eszköz, amelynek célja, hogy a vállalatok számára könnyebbé tegye a függőségek, a sebezhetőségek és a licencek kezelését. 

A GitHub üzemeltetői egy további újdonságot is bemutattak, amelyet Token Scannernek hívnak. Ez képes figyelmeztetni abban az esetben, ha a forráskódban bent marad valamely felhős szolgáltatáshoz tartozó token vagy egyéb hitelesítő adat. A megoldás jelenleg a következőket támogatja: Alibaba Cloud, AWS, Azure, GitHub, Google Cloud, Slack, Mailgun, Twilio, Stripe.

A GitHub a biztonsági fejlesztéseit a jövőben is folytatja. Például a Dependabot felvásárlásával további eszközöket fog biztosítani a fejlesztők számára annak érdekében, hogy a biztonsági rések detektálása minél hatékonyabbá és gyorsabbá válhasson.