GitHub представил новые функции, предназначенные для обеспечения безопасности кода, с добавлением данных WhiteSource к предупреждениям об уязвимостях и анализу зависимостей.
Эти функции призваны минимизировать проблему, возникающую при использовании разработчиками открытого исходного кода, о котором они не знают, что содержит уязвимости безопасности. В прошлом проблема заключалась в том, что у разработчика, использующего библиотеку, не было простого способа сообщить о возможной уязвимости системы безопасности владельцу библиотеки. Это привело к тому, что уязвимости остались открытыми для эксплуатации. С другой стороны, у владельцев библиотек не было общего способа сообщить пользователям об обнаружении проблемы.
Первое улучшение от GitHub — это добавление данных WhiteSource в предупреждения об уязвимостях системы безопасности. Функция предупреждений об уязвимостях безопасности запущена в бета-версии в 2017 году, и с тех пор GitHub отправил почти 27 миллионов предупреждений безопасности для уязвимых зависимостей в .NET, Java, JavaScript, Python и Ruby. GitHub объявил о партнерстве с WhiteSource data, чтобы расширить охват потенциальных уязвимостей безопасности в проектах с открытым исходным кодом и предоставить более подробную информацию для оценки и устранения уязвимостей.
Второе улучшение, объявленное GitHub, — это функция, называемая анализом зависимостей. Это инструмент, который можно использовать для поиска зависимостей при публичном раскрытии уязвимости системы безопасности. Он основан на существующем графике зависимостей GitHub, чтобы предоставить организациям более четкое представление об их зависимостях, включая подробную информацию об уязвимостях безопасности и лицензиях с открытым исходным кодом.
Последнее улучшение связано с тем, что GitHub приобрел Dependabot и интегрировал его в GitHub. Dependabot обеспечивает автоматическое обновление зависимостей для проектов Ruby, Python, JavaScript, PHP, .NET, Go, Elixir, Rust, Java и Elm. Используя его, GitHub может отслеживать зависимости на предмет известных уязвимостей безопасности и автоматически открывать запросы на вытягивание, чтобы обновить их до минимально необходимой версии. GitHub сообщает, что в ближайшие месяцы будет развертывать автоматические запросы на вытягивание для всех учетных записей с включенными предупреждениями безопасности.