Две новые функции означают, что у исследователей и специалистов по сопровождению есть частный канал для совместной работы, чтобы сообщать и исправлять уязвимости в общедоступных репозиториях, а разработчики npm могут публиковать информацию о происхождении вместе со своими пакетами, чтобы у потребителей был проверенный способ связать пакет обратно с его исходным репозиторием и инструкциями по сборке.
С момента публичного бета-тестирования частных отчетов об уязвимостях в ноябре прошлого года специалисты по сопровождению из более чем 30 000 организаций включили частные отчеты об уязвимостях в более чем 180 000 репозиториев и получили более тысячи заявок от исследователей. Благодаря этому включению и отзывам сообщества GitHub также внес ряд улучшений функций, включая поддержку нескольких репозиториев, новые типы кредитов и улучшенные рабочие процессы интеграции и автоматизации.
«Одной из самых больших проблем для исследователя было установление первоначального контакта с целью раскрытия уязвимости сопровождающему. Частные отчеты об уязвимостях — это огромный шаг вперед», — сказал старший исследователь безопасности открытого исходного кода Open Source Security Foundation и посол безопасности GitHub Джонатан Лейтшу.
“);
|
Улучшения для общей доступности частных отчетов об уязвимостях включают:
-
Включить в масштабе: во время общедоступной бета-версии частные отчеты об уязвимостях можно было включить только для отдельных репозиториев. Теперь сопровождающие могут включить частные отчеты об уязвимостях для всех репозиториев в своей организации.
-
Несколько типов кредитов: сопровождающие могут выбирать, как кредитовать тех, кто находит и вносит свой вклад в устранение уязвимостей и исправление.
-
Интеграция и автоматизация. Новый API рекомендаций по безопасности репозитория поддерживает несколько новых рабочих процессов интеграции и автоматизации.
-
Интеграция со сторонними системами: специалисты по обслуживанию могут передавать частные отчеты об уязвимостях из GitHub в сторонние системы управления уязвимостями.
-
Автоматическая отправка: Исследователи безопасности также могут использовать API для программного открытия частного отчета об уязвимостях в нескольких репозиториях, что позволяет сэкономить время, когда пакеты имеют общую уязвимость.
-
Оповещения об уязвимостях: любой может внимательно следить за критически важными репозиториями, запланировав автоматические проверки связи для получения уведомлений о новых отчетах об уязвимостях.
-
Частные отчеты об уязвимостях и остальные функции безопасности GitHub, такие как Dependabot, сканирование кода и сканирование секретов, бесплатны для общедоступных репозиториев.
Кроме того, цель GitHub для экосистемы npm состоит в том, чтобы обеспечить тот же уровень прозрачности, что и с самим открытым исходным кодом, в процессе создания и публикации этого кода.
С переходом к общедоступному происхождению пакетов npm GitHub работает над рядом дополнительных улучшений:
-
Принятие версии 1.0 спецификации происхождения SLSA.
-
Работа с другими поставщиками облачных CI/CD для добавления поддержки подписи происхождения.
-
Проверка ожидаемого исходного репозитория и фиксации.
-
Новые инструменты для управления доступом между вашей средой CI/CD и реестром npm.
GitHub является одним из основателей OpenSFF и активно участвует в рабочей группе по защите репозиториев программного обеспечения с целью предоставления аналогичных возможностей другим платформам и экосистемам пакетов.
Читать полную новость на сайте