Actions Dépendantes De Github

La plate-forme d’hébergement de code basée sur le cloud GitHub a annoncé qu’elle commencerait désormais à envoyer des alertes Dependabot pour les actions GitHub vulnérables afin d’aider les développeurs à résoudre les problèmes de sécurité dans les workflows CI/CD.

« Lorsqu’une vulnérabilité de sécurité est signalée dans une action, notre équipe de chercheurs en sécurité créera un avis pour documenter la vulnérabilité, ce qui déclenchera une alerte aux référentiels concernés », ont déclaré Brittany O’Shea et Kate Catlin de GitHub. a dit.

La Cyber-Sécurité

Actions GitHub est une solution d’intégration et de livraison continues (CI/CD) qui permet aux utilisateurs d’automatiser le pipeline de création, de test et de déploiement de logiciels.

Actions Dépendantes De Github

Dépendabot fait partie des efforts continus de la filiale appartenant à Microsoft pour sécuriser le chaîne d’approvisionnement de logiciels par notifier utilisateurs que leur code source dépend d’un paquet avec une vulnérabilité de sécurité et aidant à maintenir toutes les dépendances à jour.

La dernière décision implique la réception d’alertes sur les actions GitHub et les vulnérabilités affectant le code du développeur, les utilisateurs ayant également la possibilité de soumettre un avis pour une action GitHub spécifique en adhérant à un processus de divulgation cohérent.

Publicité
La Cyber-Sécurité

« Des améliorations comme celles-ci renforcent GitHub et la posture de sécurité de nos utilisateurs, c’est pourquoi nous continuons à investir dans le renforcement des points de connexion entre les solutions de sécurité de la chaîne d’approvisionnement de GitHub et les actions GitHub pour améliorer la sécurité de nos builds », a noté la société.

Le développement arrive alors que GitHub, plus tôt cette semaine, a ouvert une nouvelle demande de commentaires (RFC) pour un système opt-in qui permet aux mainteneurs de paquets de signer et de vérifier les paquets publiés sur NPM en collaboration avec Sigstore.


Rate this post
Publicité
Article précédentLes meilleurs gadgets pour les cultivateurs de cannabis à domicile
Article suivantListe des niveaux MCoC – tous les champions classés
Avatar De Violette Laurent
Violette Laurent est une blogueuse tech nantaise diplômée en communication de masse et douée pour l'écriture. Elle est la rédactrice en chef de fr.techtribune.net. Les sujets de prédilection de Violette sont la technologie et la cryptographie. Elle est également une grande fan d'Anime et de Manga.

LAISSER UN COMMENTAIRE

S'il vous plaît entrez votre commentaire!
S'il vous plaît entrez votre nom ici