2022/04/09

GitHub com alerta de vulnerabilidades em dependências externas

O GitHub conta com uma nova ferramenta para alertar contra potenciais vulnerabilidades incluídas em dependências externas.

Depois do sistema para detectar e impedir a revelação de passwords e chaves privadas, o GitHub passa a contar com outro precioso auxiliar para alertar contra situações que infelizmente se têm tornado cada vez mais comuns: a de sabotagem, propositada ou não, em dependências.

Temos tido vários casos de projectos cujos próprios developers sabotaram deliberadamente, e que causam enormes transtornos em todos os demais projectos que os utilizam. E, pior do que estas sabotagens deliberadas que são detectáveis imediatamente, há também o risco de poderem ser adicionadas vulnerabilidades mais discretas, que passem despercebidas, e afectem projectos que afectem milhões de pessoas.

É precisamente isso que o GitHub quer evitar com o seu novo sistema de alerta, que analisa as dependências externas para tentar encontrar vulnerabilidades.
No que diz respeito à segurança, todas as ajudas são bem vindas. E será bem provável que as ferramentas de programação comecem a incluir este tipo de alertas e protecções como funcionalidades standard.

2 comentários:

  1. o site Aforronet é essencialmente uma página de venda de publicidade, caramba, vou ter que cancelar os meus títulos

    ResponderEliminar
  2. Apenas nas versões pagas do GitHub: "The Dependency Review action is currently in public beta and is available for all public repositories and for private repositories belonging to organizations using GitHub Enterprise Cloud with a license for GitHub Advanced Security."

    ResponderEliminar