GitHub enverra désormais une alerte Dependabot pour les actions GitHub vulnérables, ce qui pourrait faciliter la mise à jour et corriger les vulnérabilités de sécurité dans vos workflows d’actions.
Actions GitHub (s’ouvre dans un nouvel onglet) est la solution d’intégration et de livraison continues (CI/CD) de la plateforme, qui permet aux utilisateurs d’automatiser leur pipeline de développement logiciel.
Les nouvelles alertes seront alimentées par la base de données consultative GitHub, qui est une base de données de vulnérabilités de sécurité comprenant les vulnérabilités et expositions courantes (CVE) et les avis de sécurité générés par GitHub tirés du monde des logiciels open source.
Comment puis-je activer la fonctionnalité ?
Pour recevoir des alertes sur les actions GitHub et les vulnérabilités impactant votre code, vous pouvez activer Dependabot en sélectionnant « Activer tout » sous l’onglet Sécurité et analyse du code.
Si vous utilisez déjà Dependabot, pas de problème, aucune action supplémentaire n’est requise.
Vous pouvez également apporter une partie de votre sagesse pour aider les autres utilisateurs à renforcer leur sécurité.
Si vous êtes le propriétaire d’une action GitHub et que vous découvrez une vulnérabilité, vous pouvez lancer le processus de création d’un avis à partir de l’onglet sécurité de votre référentiel.
Une fois l’avis de référentiel créé et balisé dans l’écosystème GitHub Action, l’équipe de curation GitHub examinera l’avis de référentiel et créera un avis global le cas échéant.
Vous pouvez en savoir plus sur la gestion des dépendances vulnérables sur GitHub en vous rendant ici (s’ouvre dans un nouvel onglet).
Github n’est pas la seule entreprise à chercher à remédier à certaines des vulnérabilités liées au code open source, qui est un moyen courant pour les cybercriminels d’essayer de pirater des terminaux.
C’est un sujet qui attire l’attention de l’industrie technologique au sens large, ce qui est compréhensible car les vulnérabilités open source ont été à l’origine de certaines des cyberattaques les plus dévastatrices de ces dernières années, y compris l’attaque Log4j.
Google a récemment déclaré (s’ouvre dans un nouvel onglet) il « continuera à faire de la sécurité open source une priorité et exhortera les autres à faire de même car la santé et la disponibilité des projets open source renforcent la posture de sécurité des utilisateurs et des développeurs partout dans le monde ».
- Vous souhaitez renforcer la sécurité de votre organisation ? Consultez notre guide des meilleurs pare-feu