Bulut tabanlı kod barındırma platformu GitHub, geliştiricilerin CI/CD iş akışlarındaki güvenlik sorunlarını düzeltmelerine yardımcı olmak için artık savunmasız GitHub Eylemleri için Dependabot uyarıları göndermeye başlayacağını duyurdu.
GitHub’dan Brittany O’Shea ve Kate Catlin, “Bir eylemde bir güvenlik açığı bildirildiğinde, güvenlik araştırmacılarından oluşan ekibimiz, güvenlik açığını belgelemek için bir danışma belgesi oluşturacak ve bu, etkilenen depolara yönelik bir uyarıyı tetikleyecektir.” söz konusu.
GitHub Eylemleri kullanıcıların yazılım oluşturma, test etme ve devreye alma işlem hattını otomatikleştirmelerini sağlayan bir sürekli entegrasyon ve sürekli teslim (CI/CD) çözümüdür.
bağımlı robot Microsoft’un sahip olduğu yan kuruluşun, güvenliği sağlamak için devam eden çabalarının bir parçasıdır. yazılım tedarik zinciri ile bildiren kullanıcılar, kaynak kodlarının güvenlik açığı olan bir pakete bağlı olduğunu ve tüm bağımlılıkların güncel tutulmasına yardımcı olur.
En son hamle, geliştirici kodunu etkileyen GitHub Eylemleri ve güvenlik açıkları hakkında uyarılar almayı gerektirir ve kullanıcılar ayrıca tutarlı bir açıklama sürecine bağlı kalarak belirli bir GitHub Eylemi için bir öneri gönderme seçeneğine de sahiptir.
Şirket, “Bunun gibi iyileştirmeler GitHub’ı ve kullanıcılarımızın güvenlik duruşunu güçlendiriyor, bu nedenle yapılarımızın güvenliğini artırmak için GitHub’ın tedarik zinciri güvenlik çözümleri ile GitHub Eylemleri arasındaki bağlantı noktalarını sıkılaştırmaya yatırım yapmaya devam ediyoruz” dedi.
Geliştirme, GitHub’ın bu hafta başlarında, paket bakımcılarının Sigstore ile işbirliği içinde NPM’de yayınlanan paketleri imzalayıp doğrulamasını sağlayan bir katılım sistemi için yeni bir yorum talebi (RFC) açmasıyla geldi.