Atenção desenvolvedores! O GitHub lançará nas próximas semanas uma revisão de dependência, com avaliação de segurança para solicitações pull. O comunicado da plataforma de desenvolvimento de código aberto ocorreu na conferência GitHub Universe.
De acordo com o GitHub, a revisão de dependência é um sistema projetado para ajudar “revisores e colaboradores a entender as mudanças de dependência e seu impacto na segurança em cada solicitação pull”. Assim, tenta evitar que códigos vulneráveis se fundam com dependências novas ou atualizadas por acidente.
Adicionada ao roadmap do GitHub este ano, a nova ferramenta dará aos desenvolvedores uma visão geral de quais dependências foram adicionadas ou removidas de um projeto, quando foram atualizados, quantos outros projetos dependem de uma dependência e quaisquer informações de vulnerabilidade associadas a eles.
A análise de dependência está atualmente em beta e estará disponível para repositórios públicos e clientes de segurança avançada no GitHub Enterprise Cloud. A implementação deve ocorrer nas “próximas semanas”. O recurso será gratuito para repositórios públicos.
GitHub lança revisão de dependência com alertas de vulnerabilidade para solicitações pull
As ofertas de segurança atuais do GitHub incluem um banco de dados de recomendação de vulnerabilidade, recursos de fork privado temporário para corrigir bugs antes da divulgação pública, alertas e solicitações automatizadas de pull para atualizações de segurança.
Em 2020, a plataforma registrou 56 milhões de desenvolvedores e a criação de 60 milhões de novos repositórios. Mais de 90% dos projetos utilizam componentes de código aberto e têm quase 700 dependências em média.
De acordo com a pesquisa do GitHub, vulnerabilidades podem passar despercebidas por até quatro anos em software de código aberto. Embora a maioria dos bugs seja o resultado de erro humano, as falhas em componentes que podem ser amplamente usados por fornecedores terceirizados precisam de uma solução rápida. Portanto, qualquer meio para evitar problemas nas dependências é valioso.
Por outro lado, a organização revelou uma série de outras mudanças, incluindo uma nova compilação do GitHub Enterprise Server, com lançamento a partir de 16 de dezembro. O novo candidato a lançamento do GHES 3.0 terá CI/CD integrado e recursos de automação no GitHub Actions and Packages.
Além disso, o GHES 3.0 permitirá que os clientes corporativos automatizem a Segurança Avançada, incluindo varredura de código e segredo (em beta), durante implantações de servidor.
O GitHub também anunciou:
- Modo escuro: disponível hoje nas configurações
- Discussões: agora disponível para todos os repositórios públicos
- Solicitações pull de mesclagem automática: lançada nas próximas semanas, essa configuração permite que os desenvolvedores mesclem solicitações pull automáticas depois da aprovação de verificações;
- Ambientes: os ambientes poderão ter segredos específicos para proteger aplicativos e pacotes, a partir do final deste mês;
- Visualização do fluxo de trabalho: fluxos podem ser visualizados em gráficos;
- Suporte móvel: uma versão beta de suporte móvel para GitHub Enterprise Server está em desenvolvimento.
Além disso, os patrocinadores do GitHub foram ampliados de financiamento individual para investimento de empresas. De acordo com a empresa, os patrocinadores do GitHub para empresas permitirão que as organizações “invistam nos desenvolvedores e projetos de código aberto dos quais dependem” por meio do faturamento do GitHub.
Assim, empresas como AWS, American Express, Daimler e Microsoft já se inscreveram para apoiar financeiramente projetos de código aberto.
ZDNet
