La plate-forme d’hébergement de code basée sur le cloud GitHub a annoncé qu’elle commencerait désormais à envoyer des alertes Dependabot pour les actions GitHub vulnérables afin d’aider les développeurs à résoudre les problèmes de sécurité dans les workflows CI/CD.
« Lorsqu’une vulnérabilité de sécurité est signalée dans une action, notre équipe de chercheurs en sécurité créera un avis pour documenter la vulnérabilité, ce qui déclenchera une alerte aux référentiels concernés », ont déclaré Brittany O’Shea et Kate Catlin de GitHub. a dit.
Actions GitHub est une solution d’intégration et de livraison continues (CI/CD) qui permet aux utilisateurs d’automatiser le pipeline de création, de test et de déploiement de logiciels.
Dépendabot fait partie des efforts continus de la filiale appartenant à Microsoft pour sécuriser le chaîne d’approvisionnement de logiciels par notifier utilisateurs que leur code source dépend d’un paquet avec une vulnérabilité de sécurité et aidant à maintenir toutes les dépendances à jour.
La dernière décision implique la réception d’alertes sur les actions GitHub et les vulnérabilités affectant le code du développeur, les utilisateurs ayant également la possibilité de soumettre un avis pour une action GitHub spécifique en adhérant à un processus de divulgation cohérent.
« Des améliorations comme celles-ci renforcent GitHub et la posture de sécurité de nos utilisateurs, c’est pourquoi nous continuons à investir dans le renforcement des points de connexion entre les solutions de sécurité de la chaîne d’approvisionnement de GitHub et les actions GitHub pour améliorer la sécurité de nos builds », a noté la société.
Le développement arrive alors que GitHub, plus tôt cette semaine, a ouvert une nouvelle demande de commentaires (RFC) pour un système opt-in qui permet aux mainteneurs de paquets de signer et de vérifier les paquets publiés sur NPM en collaboration avec Sigstore.