Dart é uma linguagem de programação projetada para o desenvolvimento do cliente, como para a web e aplicativos móveis, responsável pela construção de aplicativos como Google Ads, eBay Motors e Alibaba Xianyu. Agora, inclusive, a linguagem Dart está sendo aceita em recursos de segurança da supply chain pelo GitHub.
Dart aceita em recursos de segurança da supply chain do GitHub
Dado seu rápido crescimento e ampla adoção, bem como colaboração com a equipe Dart no Google, os recursos de segurança da supply chain do GitHub agora suportam o ecossistema de desenvolvimento Dart. Essa novidade torna mais fácil para pessoas desenvolvedoras e equipes de segurança visualizarem, manterem e protegerem as dependências na supply chain do software Dart.
Segundo Michael Thomson, Gerente de Produto do Grupo do Google, “o GitHub é usado diariamente por milhares de pessoas desenvolvedoras de Dart e Flutter para criar aplicativos multiplataforma. Ao colaborar com o GitHub para adicionar o Dart aos recursos de segurança da supply chain, a comunidade do Dart têm novas maneiras de encontrar e corrigir problemas antes deles afetarem seus clientes”.
Avisos de segurança do GitHub
O GitHub Advisory Database é um banco de dados aberto de alta qualidade para pessoas desenvolvedoras, com avisos de segurança focados em informações de vulnerabilidade acionáveis.
Mantenedores do pacote Dart agora podem usar os Avisos de Segurança do GitHub para colaborar com relatórios de vulnerabilidades e para discutir e corrigir vulnerabilidades em particular antes de anunciá-las publicamente. Além disso, caso o usuário encontre uma vulnerabilidade do Dart com um CVE que não esteja no banco de dados consultivo do GitHub, poderá denunciá-la por meio de uma contribuição da comunidade.
Gráfico
O gráfico de dependência analisa os arquivos pubspec.yaml e pubspec.lock de um repositório para determinar as dependências usadas em seu projeto. Isso serve como backbone para o Dependabot, que alerta quando há uma vulnerabilidade conhecida e cria pull requests para atualizar a dependência afetada.
Visualizar as dependências detectadas de um repositório é simples, basta selecionar a guia Insights e, depois, escolha Gráfico de Dependência na barra à esquerda.
O gráfico de dependência é habilitado como padrão para repositórios públicos, mas deve ser habilitá-lo manualmente em repositórios privados, podendo-se impedir que as vulnerabilidades em um código Dart sejam introduzidas com a revisão de dependência GitHub Action. Esta ação verifica pull requests para alterações nas dependências do Dart e gera um erro para vulnerabilidades conhecidas para mantê-las fora do novo código.
Alertas e atualizações Dependabot
Os alertas do Dependabot notificam quando novas vulnerabilidades são descobertas em pacotes Dart que já estiverem em utilização, e essas criarão pull requests para atualizar automaticamente os pacotes com erro para uma versão sem a vulnerabilidade.
Além disso, existe a opção de configurar os alertas e atualizações de segurança do Dependabot para receber apenas notificações específicas para seu repositório.
Com essas atualizações, o GitHub capacita o setor Tech a proteger a supply chain de software com soluções de ponta a ponta.