GitHub stuurt nu een Dependabot-waarschuwing voor kwetsbare GitHub Actions, wat het makkelijker kan maken om op de hoogte te blijven en beveiligingslekken in je actions-workflows te repareren.
GitHub Actions is de oplossing voor continue integratie en levering (CI/CD) van het platform, waarmee gebruikers hun softwareontwikkelingspijplijn kunnen automatiseren.
De nieuwe waarschuwingen worden aangestuurd door de GitHub Advisory Database, een database met beveiligingslekken inclusief Common Vulnerabilities and Exposures (CVE's) en door GitHub zelf gecreëerde beveiligingsadviezen uit de wereld van open source-software.
Hoe schakel ik de functie in?
Om waarschuwingen te ontvangen over GitHub Actions en kwetsbaarheden die je code beïnvloeden, kun je Dependabot inschakelen door "Enable" te selecteren in het ''Code security and analysis''-tabblad.
Mocht je Dependabot al gebruiken, dan hoef je geen extra actie te ondernemen.
Je kunt ook iets van je wijsheid bijdragen om andere gebruikers te helpen veiliger te worden. Als je de eigenaar bent van een GitHub Action en je ontdekt een kwetsbaarheid, dan kun je het proces starten om een advisory aan te maken vanaf de security tab in je repository.
Zodra de repository advisory is aangemaakt en gelabeld binnen het GitHub Action-ecosysteem, gaat het GitHub curatieteam de repository advisory bekijken en een global advisory aanmaken indien nodig.
Je kan hier meer informatie vinden over het beheren van kwetsbare afhankelijkheden op GitHub.
Github is niet het enige bedrijf dat een aantal van de kwetsbaarheden in verband met open broncode wil verhelpen. Voor cybercriminelen is dit namelijk een veelgebruikte manier om eindpunten te kapen.
Het is een onderwerp dat de aandacht trekt van de bredere technologische industrie. Begrijpelijk, aangezien kwetsbaarheden in open source de oorzaak zijn geweest van enkele van de meest verwoestende cyberaanvallen van de afgelopen paar jaar, waaronder de Log4j-aanval.
Google heeft onlangs gezegd dat het bedrijf "van de beveiliging van open source een prioriteit blijft maken en anderen aanspoort hetzelfde te doen, omdat de gezondheid en beschikbaarheid van open source-projecten de beveiligingspositie van gebruikers en ontwikkelaars overal versterkt".
