Разработчики GitHub сообщили о новых функциях сервиса, направленных на улучшение безопасности размещенных на нем проектов. Теперь хранилище предоставляет клиентам возможность быстро выявлять новые уязвимости в своих программах, а также оперативно уведомлять пользователей о наличии или исправлении бага. Помимо этого, создатели крупнейшей в мире базы исходников расширили ИБ-механизмы поиска вшитых токенов и предупреждения о багах во внешних библиотеках.

Представители сервиса рассказали о механизме поиска зависимостей, который был запущен недавно. Новая функция в личном кабинете пользователя позволяет разработчику быстро провести аудит компонентов, затронутых той или иной уязвимостью. Алгоритм не только найдет все подсистемы, использующие проблемный код, но и поможет оценить степень угрозы.

Еще одним нововведением стала интеграция сервиса Dependabot в GitHub. Представители хранилища сообщили, что они приобрели инструмент для автоматической генерации запросов на загрузку патчей. В ближайшее время утилита будет внедрена в интерфейс кабинета разработчика, что позволит увеличить скорость обновления уязвимых библиотек и повысит безопасность представленных на сайте проектов.

В бета-режиме запущен сервис управления рекомендациями безопасности. Он представляет собой закрытое коммуникационное пространство для разработчиков и пользователей продуктов. Здесь создатели программ могут публиковать сообщения об уязвимостях и выпуске патчей, а также обсуждать вышедшие обновления с потребителями, не опасаясь нежелательных утечек.

Развитием той же идеи является функция установки политик безопасности, которая поможет регламентировать процесс раскрытия информации о найденных пользователями багах. Владельцы аккаунтов смогут устанавливать единые правила для всех своих проектов, а организации, владеющие несколькими хранилищами, получат возможность распространять действие политики на все свои профили.

Как сообщили представители GitHub, функция поиска вшитых в код логинов и паролей, анонсированная в марте этого года, теперь способна обнаруживать токены Alibaba Cloud, Mailgun и Twilio. Кроме того, служба оповещения разработчиков об известных уязвимостях в коде опубликованных проектов была подключена к базе данных платформы WhiteSource, проводящей автоматический аудит разработок с открытым кодом.

Категории: Кибероборона, Уязвимости