Platform pengembangan perangkat lunak populer GitHub mempermudah minggu lalu bagi pengguna untuk menemukan masalah keamanan dengan kode mereka, dengan menyertakan fitur peringatan kerentanan baru.
Peluncuran ini muncul setelah update bulan lalu yang memungkinkan pengembang untuk melacak proyek yang bergantung pada kode mereka melalui "grafik ketergantungan", yang saat ini didukung untuk Javascript dan Ruby.
"Hari ini, untuk lebih dari 75% proyek GitHub yang memiliki ketergantungan, kami membantu Anda melakukan lebih banyak daripada melihat proyek penting tersebut," kata direktur produk GitHub, Miju Han, dalam sebuah posting blog. "Dengan grafik ketergantungan Anda, sekarang kami akan memberi tahu Anda saat kami mendeteksi kerentanan di salah satu dependensi Anda dan menyarankan perbaikan yang diketahui dari komunitas GitHub."
Lansiran akan berfungsi apakah proyek bersifat publik atau swasta, walaupun untuk yang terakhir, pengguna perlu memilih melalui pengaturan repositori atau dengan mengizinkan akses di bagian grafik dependensi tab Wawasan penyimpanan mereka.
Setelah itu, administrator akan menerima peringatan keamanan secara default, dan dapat menambahkan anggota tim lainnya jika diinginkan.
Kerentanan yang telah diberi nomor CVE akan disertakan, walaupun Han menunjukkan bahwa tidak semua bug - bahkan yang diungkapkan oleh publik.
"Saat kami memberi tahu Anda tentang potensi kerentanan, kami akan menyoroti ketergantungan apa pun yang sebaiknya kami perbarui. Jika ada versi aman yang diketahui, kami akan memilihnya dengan menggunakan pembelajaran mesin dan data yang tersedia untuk umum, dan memasukkannya ke dalam saran kami ", jelasnya.
Peringatan keamanan saat ini bekerja untuk proyek Ruby dan Javascript, dengan dukungan Python datang tahun depan.
Kembali pada bulan September, malware ditemukan di PyPI - repositori resmi untuk bahasa pemrograman populer - dan kemudian berhasil masuk ke beberapa paket perangkat lunak. Serangan rantai pasokan semacam ini menjadi semakin populer dan memanfaatkan fakta bahwa banyak pengembang gagal memasukkan keamanan sejak dini cukup dalam siklus hidup aplikasi.
Author : Rama Trisna Pasa
Sumber : Infosecurity megazine
Post a Comment