Bulut tabanlı kod barındırma platformu GitHub, geliştiricilerin CI/CD iş akışlarındaki güvenlik sorunlarını düzeltmelerine yardımcı olmak için artık savunmasız GitHub Eylemleri için Dependabot uyarıları göndermeye başlayacağını duyurdu.
GitHub’dan Brittany O’Shea ve Kate Catlin, “Bir eylemde bir güvenlik açığı bildirildiğinde, güvenlik araştırmacılarından oluşan ekibimiz, güvenlik açığını belgelemek için bir danışma belgesi oluşturacak ve bu, etkilenen depolara yönelik bir uyarıyı tetikleyecektir.” Dedi.
GitHub Actions, kullanıcıların yazılım oluşturma, test etme ve devreye alma işlem hattını otomatikleştirmesini sağlayan bir sürekli entegrasyon ve sürekli teslim (CI/CD) çözümüdür.
Dependabot, Microsoft’a ait yan kuruluşun, kullanıcılara kaynak kodlarının güvenlik açığı olan bir pakete bağlı olduğunu bildirerek ve tüm bağımlılıkların güncel tutulmasına yardımcı olarak yazılım tedarik zincirini güvence altına alma çabalarının bir parçasıdır.
En son hamle, geliştirici kodunu etkileyen GitHub Eylemleri ve güvenlik açıkları hakkında uyarılar almayı gerektiriyor ve kullanıcılar, tutarlı bir açıklama sürecine bağlı kalarak belirli bir GitHub Eylemi için bir öneri gönderme seçeneğine de sahip.
Şirket, “Bunun gibi iyileştirmeler GitHub’ı ve kullanıcılarımızın güvenlik duruşunu güçlendiriyor, bu nedenle yapılarımızın güvenliğini artırmak için GitHub’ın tedarik zinciri güvenlik çözümleri ile GitHub Eylemleri arasındaki bağlantı noktalarını sıkılaştırmaya yatırım yapmaya devam ediyoruz” dedi.
Geliştirme, GitHub’ın bu hafta başlarında, paket bakımcılarının Sigstore ile işbirliği içinde NPM’de yayınlanan paketleri imzalayıp doğrulamasını sağlayan bir katılım sistemi için yeni bir yorum talebi (RFC) açmasıyla geldi.