GitHub ahora puede alertar sobre errores en la cadena de suministro en nuevas dependencias

GitHub ahora puede bloquear y alertarlo sobre solicitudes de incorporación de cambios que introducen nuevas dependencias afectadas por vulnerabilidades conocidas de la cadena de suministro.

Esto se logra agregando la nueva acción GitHub de revisión de dependencia a un flujo de trabajo existente en uno de sus proyectos. Puede hacerlo a través de la pestaña Acciones de su repositorio en Seguridad o directamente desde GitHub Marketplace.

Funciona con la ayuda de un punto final de API que lo ayudará a comprender el impacto de seguridad de los cambios de dependencia antes de agregarlos a su repositorio en cada solicitud de extracción.

"La GitHub Action automatiza la búsqueda y el bloqueo de vulnerabilidades que actualmente solo se muestran en la diferencia enriquecida de una solicitud de extracción", dijo Courtney Claessens, gerente sénior de productos en GitHub.

Funciona al escanear solicitudes de extracción para cambios de dependencia en la base de datos de asesoramiento de GitHub (una colección de CVE y avisos que detallan fallas de seguridad en el software de código abierto) para ver si las nuevas dependencias presentan vulnerabilidades.

"Si lo hacen, la acción generará un error para que pueda ver qué dependencia tiene una vulnerabilidad e implementar la solución con la inteligencia contextual provista", agregó Claessens.

Acción de revisión de dependencias de GitHub
Revisión de dependencias de GitHub en acción (GitHub)

La revisión de dependencia está diseñada para proporcionar información sobre:

  • Qué dependencias se agregaron, eliminaron o actualizaron, junto con las fechas de lanzamiento
  • ¿Cuántos proyectos utilizan estos componentes?
  • Datos de vulnerabilidad para estas dependencias

"Al verificar las revisiones de dependencia en una solicitud de extracción y cambiar las dependencias que están marcadas como vulnerables, puede evitar que se agreguen vulnerabilidades a su proyecto", explica GitHub.

"Las alertas de Dependabot encontrarán vulnerabilidades que ya están en sus dependencias, pero es mucho mejor evitar la introducción de problemas potenciales que solucionarlos en una fecha posterior".

La acción Revisión de dependencia se encuentra actualmente en versión beta pública y está disponible para todos los repositorios públicos y para repositorios privados que pertenecen a organizaciones que usan GitHub Enterprise Cloud con una licencia para GitHub Advanced Security.

Puede encontrar más información sobre cómo funciona la revisión de dependencias aquí. GitHub también proporciona pasos de instalación detallados en la entrada del mercado de la acción.

GitHub también anunció el lunes que amplió las capacidades de escaneo de secretos de su plataforma de alojamiento de código para los clientes de GitHub Advanced Security para evitar la exposición accidental de credenciales antes de enviar el código a repositorios remotos.

Descubre más contenido

Subir Change privacy settings