Para ajudar os desenvolvedores a ficarem atualizados, o Dependabot agora alerta sobre vulnerabilidades no GitHub Actions.
Um fluxo de trabalho de CI/CD bem ajustado e seguro é essencial para equipes que desejam desenvolver melhor e mais rápido. O GitHub Actions oferece aos times acesso a recursos avançados de CI/CD nativos junto com os códigos hospedados no GitHub.
Mas trabalhar melhor também significa trabalhar de forma mais segura, por isso, de agora em diante, quando uma vulnerabilidade de segurança for relatada em uma ação, o GitHub criará um aviso para documentar a vulnerabilidade, que acionará um alerta do Dependabot para os repositórios afetados.
Dependabot agora alerta sobre vulnerabilidades no GitHub Actions
Segundo explicam Brittany O’Shea e Kate Catlin, Diretora e Gerente de Produto Sênior do GitHub, respectivamente, esses alertas serão feitos pelo GitHub Advisory Database (Banco de Dados Consultivo do GitHub).
E, como todos os dados no banco de dados consultivo do GitHub, os avisos são pesquisáveis e sempre livres.
Melhorias como esta fortalecem o GitHub e a postura de segurança dos usuários, e por isso há um investimento contínuo no estreitamento dos pontos de conexão entre as soluções de segurança da supply chain (cadeia de suprimentos) do GitHub e o GitHub Actions para melhorar a segurança dos códigos.
Como vão funcionar os alertas do Dependabot para o Actions
O GitHub Advisory Database alimenta os alertas do Dependabot para repositórios do GitHub afetados. Se você já usa o Dependabot, pode usar o programa diretamente, sem ação adicional necessária. Para receber alertas sobre o GitHub Actions e vulnerabilidades que afetam o código, você pode habilitar o Dependabot selecionando “Enable all” dentro da aba Code security and analysis.
Enviando um aviso ao seu GitHub Action
Se você for o dono de uma ação, ao descobrir uma vulnerabilidade, é possível iniciar o processo de criação de um aviso na guia de segurança do seu repositório.
Depois que o aviso do repositório for criado e marcado no GitHub Action, a equipe de curadoria do GitHub vai revisar o aviso e criar um aviso global quando necessário.
Para um processo de divulgação contínuo, ao criar um aviso do GitHub Action, certifique-se de que:
- O GitHub Action usa versionamento semântico.
- Você é dono do repositório da ação para a qual criou o alerta.
- Os nomes dos pacotes são formatados como um nome de usuário ou organização seguido pelo nome do repositório com uma barra no meio: “org-name/repo-name”. Um exemplo seria: “GitHub/GitHub’s-favorite-action”.
Há apenas uma ação no repositório, portanto, é distinguível de outras ações.
Saiba mais sobre o GitHub Actions
Como a ferramenta de CI/CD nº 1 usada nos repositórios do GitHub, o GitHub Actions ajuda equipes de todos os tamanhos a acelerar a velocidade do desenvolvimento e aumentar a confiabilidade do seu software.
Ao combinar workflows reutilizáveis e políticas do GitHub Actions, como limitar quais ações podem ser usadas em sua organização, os clientes podem dimensionar seus esforços para manter uma base de código mais segura em toda a empresa.
Com mais de 13 mil ações para escolher, todas as equipes têm a oportunidade de melhorar seus processos de desenvolvimento com uma ação do GitHub.
O GitHub Advisory Database publica avisos de segurança que potencializam as capacidades de segurança da supply chain do GitHub, incluindo alertas do Dependabot e atualizações de segurança do Dependabot.
Os dados são licenciados sob uma licença Creative Commons e existem desde o início do banco de dados, tornando-se para sempre gratuitos e utilizáveis pela comunidade.