GitHub Dependabot hiện cảnh báo các nhà phát triển về các hành động GitHub dễ bị tổn thương

Hành động của Dependabot GitHub

Nền tảng lưu trữ mã dựa trên đám mây GitHub đã thông báo rằng bây giờ họ sẽ bắt đầu gửi cảnh báo về các Hành động GitHub dễ bị tấn công để giúp các nhà phát triển khắc phục các vấn đề bảo mật trong quy trình làm việc CI / CD.

Brittany O’Shea và Kate Catlin của GitHub cho biết: “Khi một lỗ hổng bảo mật được báo cáo trong một hành động, nhóm các nhà nghiên cứu bảo mật của chúng tôi sẽ tạo một lời khuyên để ghi lại lỗ hổng bảo mật, điều này sẽ kích hoạt cảnh báo cho các kho lưu trữ bị ảnh hưởng”.

GitHub Actions là giải pháp tích hợp liên tục và phân phối liên tục (CI / CD) cho phép người dùng tự động hóa quy trình xây dựng, kiểm tra và triển khai .

Hành động của Dependabot GitHub

Dependabot là một phần trong nỗ lực không ngừng của công ty con do Microsoft sở hữu nhằm bảo mật chuỗi cung ứng phần mềm bằng cách thông báo cho người dùng rằng của họ phụ thuộc vào một gói có lỗ hổng bảo mật và giúp cập nhật tất cả các phần phụ thuộc.

Động thái mới nhất dẫn đến việc nhận được cảnh báo về Hành động GitHub và các lỗ hổng ảnh hưởng đến mã nhà phát triển, người dùng cũng có tùy chọn gửi lời khuyên cho một Hành động GitHub cụ thể bằng cách tuân thủ quy trình tiết lộ nhất quán.

Xem tiếp:   Các CEO hàng đầu của MSSP chia sẻ 7 mẹo phải làm để có doanh thu và lợi nhuận MSSP cao hơn

Công ty lưu ý: “Những cải tiến như thế này củng cố GitHub và tư thế bảo mật của người dùng, đó là lý do tại sao chúng tôi tiếp tục đầu tư vào việc thắt chặt các điểm kết nối giữa các giải pháp bảo mật chuỗi cung ứng của GitHub và GitHub Actions để cải thiện bảo mật cho các bản dựng của chúng tôi”, công ty lưu ý.

Sự phát triển đến khi GitHub, vào đầu tuần này, đã mở một yêu cầu nhận xét mới (RFC) cho một hệ thống chọn tham gia cho phép những người bảo trì gói ký và xác minh các gói được xuất bản cho NPM với sự cộng tác của Sigstore.

.

Related Posts

Check Also

Tin tặc sử dụng ứng dụng OAuth độc hại để chiếm dụng máy chủ email

Hôm thứ Năm, Microsoft đã cảnh báo về một cuộc tấn công đối mặt với …