Ügyes újdonsággal rukkolt elő a GitHub

​A GitHub egy olyan újdonságot jelentett be, amely egy csapásra rengeteg nyílt és zárt forráskódú alkalmazást tehet biztonságosabbá.
 

A szoftverek nagyon gyakran azért válnak sérülékennyé, mert olyan könyvtárakat, összetevőket tartalmaznak, amelyek maguk is sebezhetők. Ha egy ilyen kódkönyvtár kapcsán napvilágra kerül egy biztonsági rés, akkor az nagyon sok alkalmazást tehet kiszolgáltatottá. Nyilván az ilyen esetek elkerülése érdekében a fejlesztőknek figyelniük kell(ene) az általuk használt komponensekben felmerülő biztonsági problémákra. Azonban ez sok esetben elmarad, amin most a GitHub egy új szolgáltatással próbál segíteni.
 
Az újdonság lényege, hogy a GitHub folyamatosan figyelemmel kíséri a különféle könyvtárak kapcsán felfedezett sérülékenységeket. Ezt jelenleg a MITRE segítségével teszi meg, vagyis azon hibákat dolgozza fel, amelyek rendelkeznek CVE-azonosítóval. Ezt követően a nemrégen bejelentett Dependency Graph segítségével ellenőrzi, hogy a problémás komponens mely projekteknek képezi részét. Szükség esetén pedig riasztást, figyelmeztetést küld vagy jelenít meg.  
A jelenlegi elképzelések szerint az új biztonsági funkció automatikusan aktiválódik a nyilvános repositoryknál, míg a zárt projektek esetében a fejlesztők dönthetnek arról, hogy szeretnének-e élni az új lehetőséggel. Ekkor azt is beállíthatják, hogy mely csoportok vagy személyek kapjanak értesítést akár e-mailben, akár a weboldalon keresztül. Az értesítések tartalmazzák a problémás összetevő nevét, a sérülékenység veszélyességi besorolását, sőt védekezési tanácsokat is adnak. Amennyiben már elérhető egy adott sérülékenységhez javítás, akkor a GitHub azt is közli, hogy mely verzióra célszerű frissíteni.
 
A GitHub ígérete szerint a jövőben olyan sérülékenységekre is igyekszik majd felhívni a figyelmet, amelyek nem rendelkeznek CVE-azonosítóval.