GitHub ha introducido nuevas funciones diseñadas para mantener el código seguro con la adición de datos de WhiteSource a las alertas de vulnerabilidad de seguridad y las perspectivas de dependencia.
Las características están diseñadas para minimizar el problema causado cuando los desarrolladores utilizan código abierto que no saben que contiene vulnerabilidades. En el pasado, el problema ha sido que no ha habido una forma sencilla para que un desarrollador que utiliza una biblioteca informe una posible vulnerabilidad de seguridad al propietario de la biblioteca. Esto ha llevado a que las vulnerabilidades queden abiertas a la explotación. Del otro lado, los propietarios de bibliotecas no han tenido una forma general de informar a los usuarios cuando se ha identificado un problema.
La primera mejora de GitHub es la adición de datos de WhiteSource a las alertas de vulnerabilidad. La función de alerta de vulnerabilidad se lanzó en versión beta en 2017 y desde entonces GitHub ha enviado casi 27 millones de alertas de seguridad para dependencias vulnerables en .NET, Java, JavaScript, Python y Ruby. GitHub ha anunciado una asociación con los datos de WhiteSource para ampliar la cobertura de posibles vulnerabilidades de seguridad en proyectos de código abierto y para proporcionar más detalles para evaluar y remediar las vulnerabilidades.
La segunda mejora anunciada por GitHub es una característica llamada información de dependencia. Esta es una herramienta que se puede usar para encontrar dependencias con vulnerabilidades, cuando estas se han hecho públicas. Se basa en el gráfico de dependencia existente de GitHub para brindar a las organizaciones una visión más clara de sus dependencias, incluidos detalles sobre vulnerabilidades y licencias de código abierto.
La mejora final proviene del hecho de que GitHub ha adquirido Dependabot y lo ha integrado en GitHub. Dependabot proporciona actualizaciones de dependencia automatizadas para proyectos de Ruby, Python, JavaScript, PHP, .NET, Go, Elixir, Rust, Java y Elm. Al usarlo, GitHub puede monitorear las dependencias para detectar vulnerabilidades de seguridad conocidas y abrir automáticamente solicitudes de extracción para actualizarlas a la versión mínima requerida. GitHub dice que implementará solicitudes de extracción automatizadas para todas las cuentas con alertas de seguridad habilitadas en los próximos meses.