GitHub-update helpt je met oplossen verborgen veiligheidsbugs
GitHub-ontwikkelaars krijgen nieuwe alerts om open source-ontwikkeling veiliger te maken
GitHub stuurt nu een Dependabot-waarschuwing voor kwetsbare GitHub Actions, wat het makkelijker kan maken om op de hoogte te blijven en beveiligingslekken in je actions-workflows te repareren.
GitHub Actions is de oplossing voor continue integratie en levering (CI/CD) van het platform, waarmee gebruikers hun softwareontwikkelingspijplijn kunnen automatiseren.
De nieuwe waarschuwingen worden aangestuurd door de GitHub Advisory Database, een database met beveiligingslekken inclusief Common Vulnerabilities and Exposures (CVE's) en door GitHub zelf gecreëerde beveiligingsadviezen uit de wereld van open source-software.
Hoe schakel ik de functie in?
Om waarschuwingen te ontvangen over GitHub Actions en kwetsbaarheden die je code beïnvloeden, kun je Dependabot inschakelen door "Enable" te selecteren in het ''Code security and analysis''-tabblad.
Mocht je Dependabot al gebruiken, dan hoef je geen extra actie te ondernemen.
Je kunt ook iets van je wijsheid bijdragen om andere gebruikers te helpen veiliger te worden. Als je de eigenaar bent van een GitHub Action en je ontdekt een kwetsbaarheid, dan kun je het proces starten om een advisory aan te maken vanaf de security tab in je repository.
Zodra de repository advisory is aangemaakt en gelabeld binnen het GitHub Action-ecosysteem, gaat het GitHub curatieteam de repository advisory bekijken en een global advisory aanmaken indien nodig.
Ben je een echte tech-fan? Meld je dan aan voor onze nieuwsbrief
Meld je aan voor deTechRadar Pro-nieuwsbrief om al het topnieuws, meningen, functies en begeleiding te ontvangen die jouw bedrijf nodig heeft om te slagen!
Je kan hier meer informatie vinden over het beheren van kwetsbare afhankelijkheden op GitHub.
Github is niet het enige bedrijf dat een aantal van de kwetsbaarheden in verband met open broncode wil verhelpen. Voor cybercriminelen is dit namelijk een veelgebruikte manier om eindpunten te kapen.
Het is een onderwerp dat de aandacht trekt van de bredere technologische industrie. Begrijpelijk, aangezien kwetsbaarheden in open source de oorzaak zijn geweest van enkele van de meest verwoestende cyberaanvallen van de afgelopen paar jaar, waaronder de Log4j-aanval.
Google heeft onlangs gezegd dat het bedrijf "van de beveiliging van open source een prioriteit blijft maken en anderen aanspoort hetzelfde te doen, omdat de gezondheid en beschikbaarheid van open source-projecten de beveiligingspositie van gebruikers en ontwikkelaars overal versterkt".
Marloes werkt als online redacteur voor TechRadar Benelux. Groot fan van lezen, motorsport, tech en games, met voor elk thema iets om aan te bevelen. Ontkent het bestaan van Jak: The Lost Frontier.