وقتی گیت‌هاب به فکر امنیت کد‌ها هم هست!

خلاصه: سرویس میزبانی کد گیت‌هاب اخیراً یک ویژگی امنیتی جدید را طراحی کرده است که به توسعه‌دهندگان درصورتی که کتابخانه‌های موجود در پروژه‌‌شان دارای آسیب‌پذیری باشند، هشدار می‌دهد. این ویژگی جدید جاوااسکریپت و روبی را پشتیبانی کرده و گیت‌هاب قصد دارد تا پشتیبانی پایتون را نیز در سال آینده به آن اضافه کند .

سرویس میزبانی کد Github به توسعه‌دهندگان زمانی که پروژه‌یشان شامل کتابخانه‌های نرم‌افزاری آسیب‌پذیر است، هشدار می‌دهد و به آن‌ها برای رفع مشکل مربوطه پیشنهاداتی را ارائه می‌دهد.

گیت‌هاب اخیراً گراف وابستگی (Dependency Graph) را معرفی کرد، یک ویژگی که همه‌ی کتابخانه‌های استفاده شده در پروژه را لیست می‌کند. این ویژگی جدید، جاوااسکریپت و Ruby را پشتیبانی می‌کند و این کمپانی قصد دارد تا در سال آینده پشتیبانی پایتون را نیز به آن اضافه کند.

ویژگی امنیتی جدید طراحی شده است تا به توسعه‌دهندگان زمانی که یکی از وابستگی‌های پروژه‌‌شان دارای نقص‌های شناخته شده است، هشدار دهد. گراف وابستگی و ویژگی هشدارهای امنیتی به صورت خودکار برای مخازن عمومی فعال شده‌اند.

قابلیت دسترسی یک گراف وابستگی امکان اعلام وجود آسیب‌پذیری امنیتی شناخته شده در یکی از وابستگی‌ها را داده و از طرف جامعه‌ی گیت‌هاب پیشنهاداتی را برای رفع آن ارائه می‌کند.

گیت‌هاب برای توسعه‌دهندگان، نوع آسیب‌پذیری، رتبه‌ی مرتبط و نسخه‌های آسیب‌دیده را فراهم می‌کند و رابط کاربری شامل یک لینک که به یک صفحه شامل جزئیات اضافی آسیب‌پذیری اشاره می‌کند، می‌باشد.

مدیران می‌توانند فرم هشدار را انتخاب کننند؛ فرم هشدار می‌تواند به ‌صورت هشدار ایمیلی، اعلان وبی، و هشدار از طریق رابط کاربری باشد. همچنین گیرنده‌ی نهایی پیام را نیز می‌توان تعیین کرد.

هشدارهای امنیتی شامل آسیب‌پذیری‌هایی که شناسه‌ی CVE دارند می‌باشد اما از آنجایی که بسیاری از آسیب‌پذیری‌های افشا شده‌ی عمومی شناسه‌ی CVE ندارند، گیت‌هاب سعی می‌کند تا نقص‌هایی را که هنوز این کد را دریافت نکرده‌اند را نیز شامل شود.

در صورت ارائه‌ی  یک وصله‌ی امنیتی برای یک آسیب‌پذیری کشف شده توسط گیت‌هاب، این سرویس به توسعه‌دهندگان پیشنهاد به‌روزرسانی خواهد داد.