GitHub یک مکانیسم هشدار خودکار را معرفی کرده است تا توسعه دهندگان را قادر می سازد تا آسیب پذیری های اجزای منبع باز مورد استفاده کدشان را برطرف کنند.
به گفته گیت هاب، این ویژگی جدید به نام هشدار Dependabot برای اقدامات آسیب پذیر GitHub، بهروز ماندن و رفع آسیبپذیریهای امنیتی را با استفاده از گردشهای کاری Actions برای توسعهدهندگان آسانتر میکند.
آسیب پذیری هایی مانند Log4j بر ضعف امنیت منبع باز تمرکز کرده اند و جو بایدن، رئیس جمهور ایالات متحده، امنیت نرم افزار را یک اولویت ملی قرار داده است. فرمان اجرایی او در مورد امنیت سایبری فقط شرکتهایی را ملزم میکند که استفاده میکنند شیوه های چرخه عمر توسعه نرم افزار امن و مطابق با دستورالعمل های امنیتی خاص فدرال قادر به فروش به دولت فدرال خواهد بود.
نقطه قوت کد منبع باز این است که ماژول های کد خارجی را می توان از یک مخزن عمومی مانند GitHub به یک پروژه کشید. این کار توسعه دهندگان را آسان می کند تا بدون نیاز به نوشتن همه کدها، عملکردها را به کار گیرند. ماژول های منبع باز توسط توسعه دهندگان شخص ثالث نگهداری می شوند.
با این حال، همانطور که قبلاً Computer Weekly گزارش داده بود، اگر یک خطر امنیتی در ماژول منبع باز کشف شود، پروژه هایی که به این ماژول وابسته هستند نیز در معرض خطر هستند. در بسیاری از موارد، توسعهدهندگانی که کدشان به چنین ماژولهایی نیاز دارد ممکن است ندانند که کد منبع باز که در پروژه خود گنجاندهاند، خطر امنیتی دارد.
این وضعیتی است که GitHub امیدوار است با هشدارهای Dependabot برای اقدامات آسیبپذیر GitHub مقابله کند.
پایگاه داده مشاوره GitHub نشان می دهد که بیش از 173000 آسیب پذیری در GitHub وجود دارد که بررسی نشده اند.
در یک پست وبلاگ در مورد Dependabot بحث می شود هشدارهایی برای GitHub Actions آسیب پذیر، کیت کتلین، مدیر ارشد محصول در GitHub، و بریتانی اوشی، نویسنده در وبلاگ GitHub، گفتند که Alerts توسط پایگاه داده مشاوره GitHub پشتیبانی می شود.
آنها نوشتند: «وقتی یک آسیبپذیری امنیتی در یک اقدام گزارش میشود، تیم محققان امنیتی ما توصیهای برای مستندسازی آسیبپذیری ایجاد میکنند، که هشداری را برای مخازن تحت تأثیر ایجاد میکند».
در زمان نگارش این مقاله، پایگاه داده مشاوره GitHub دارای 8543 توصیه است که بررسی شده اند، 1560 مورد از آنها به عنوان “بحرانی” طبقه بندی شده اند. اما، برای نشان دادن مقیاس مشکل پیش روی جامعه منبع باز، پایگاه داده نشان می دهد که بیش از 173000 آسیب پذیری در GitHub وجود دارد که بررسی نشده اند.
اجماع کلی وجود دارد که برای حفظ امنیت کد منبع باز، به همکاری جهانی نیاز است. در ژانویه امسال، تعدادی از شرکت های بزرگ فناوری، از جمله گوگل و آی بی ام، در این رویداد شرکت کردند اجلاس امنیت نرم افزار منبع باز کاخ سفید.
همزمان با این اجلاس، کنت واکر، رئیس امور جهانی در گوگل و آلفابت، وبلاگی را منتشر کرد که در آن درباره نیاز به ایمن سازی موثر کد منبع باز بحث می کرد.
او نوشت: «تکیه روزافزون به منبع باز به این معنی است که زمان آن فرا رسیده است که صنعت و دولت برای ایجاد استانداردهای پایه برای امنیت، نگهداری، منشأ و آزمایش گرد هم آیند – تا اطمینان حاصل شود که زیرساخت های ملی و سایر سیستم های مهم می توانند بر پروژه های منبع باز تکیه کنند.
جیمی توماس، مدیر اجرایی امنیت سازمانی در IBM، که همچنین در این اجلاس شرکت کرد، گفت: «جلسه امروز به وضوح نشان داد که دولت و صنعت میتوانند برای بهبود شیوههای امنیتی برای منبع باز با یکدیگر همکاری کنند. ما میتوانیم با تشویق به پذیرش گسترده استانداردهای امنیتی باز و معقول، شناسایی داراییهای منبع باز حیاتی که باید دقیقترین الزامات امنیتی را برآورده کنند، و ترویج تلاش مشترک ملی برای گسترش آموزش مهارتها و آموزش در زمینه امنیت منبع باز و پاداش دادن به توسعهدهندگانی که مهم هستند، شروع کنیم. گام در این زمینه.»
به طور بالقوه، هشدارهای Dependabot برای اقدامات آسیبپذیر را میتوان به فرآیندهای یکپارچهسازی و استقرار مداوم (CI/CD) مرتبط کرد تا تیمهای توسعهدهنده را قادر به اولویتبندی کارهای توسعهدهنده و رسیدگی سریعتر به مسائل امنیتی کند.
0
0
