GitHub sam rozpozna podatności i zaproponuje rozwiązanie
Nowe przydatne rozwinięcie funkcji Dependency Graph ogłoszono właśnie na GitHubie. Używane dotąd do sprawdzania poprawności pomiędzy modułami Dependency Graph zatroszczy się także o bezpieczeństwo programu, automatycznie rozpoznając podatności i alarmując o nich dewelopera.
Aktualnie nowa funkcja, podobnie jak całe Dependency Graph, dostępna jest dla dla plików package.json i gemfiles, a zatem dla JavaScript i Ruby. W przyszłym roku dodane ma zostać także wsparcie dla projektów pisanych w Pythonie. Korzystać z nowości może już każdy deweloper, po włączeniu jej w menu Inisights, gdzie wyświetlane są w formie drzewka wszystkie wykorzystywane biblioteki. Do jej uruchomienia jest także konieczne ustalenie użytkowników, którzy mają być powiadamiani o wykrytym niebezpieczeństwie.
Odtąd, gdy DG rozpozna, że dana zależność może stać się wektorem ataku, przy bibliotece zostanie wyświetlone powiadomienie, wysłany zostanie także mail informacyjny. GitHub nie poprzestaje na alarmowaniu – wyświetlane są także dodatkowe informacje na temat potencjalnej podatności oraz proponowane rozwiązanie problemu. Użytkownicy GitHuba będą zresztą otrzymywać nie tylko informacje o problemach w ich projektach, ale także każdorazowe raporty o poszerzeniu githubowej bazy wiedzy o zagrożeniach.
Ta będzie w pełni ustandaryzowana – podatności będą oznaczane według standardów Common Vulnerabilities and Exposures i stanu baz amerykańskiego Narodowego Instytutu Standaryzacji i Technologii, lecz nie tylko – Miju Han z GitHuba obiecuje, że pod uwagę będą brane także zagrożenia, które nie zostały jeszcze skodyfikowane jako CVE.
