Elia Tufarolo

GitHub: qui bug ci cova

Una nuova funzionalità introdotta da GitHub estende il Dependency Graph rilasciato lo scorso mese, avvisando gli utenti sulle vulnerabilità delle dipendenze dei loro progetti. Attualmente sono supportati soltanto Ruby e Javascript, Python è in dirittura d'arrivo

Roma - GitHub, il servizio di hosting per progetti software più usato al mondo, ha recentemente introdotto una nuova funzionalità, con la finalità di aiutare gli utenti a manutenere il codice, per quanto riguarda l'ambito della sicurezza, e quindi di ridurre il numero di progetti vulnerabili ospitati dalla piattaforma.

La nuova funzionalità va ad estendere il Dependency Graph rilasciato lo scorso mese. Esso è in grado di restituire la lista delle dipendenze di un certo progetto ed attualmente supporta i linguaggi di programmazione Ruby e Javascript (il supporto a Python è in dirittura d'arrivo). Il Dependency Graph è ora in grado di avvisare l'utente se una o più dipendenze relative ad un dato progetto sono affette da vulnerabilità note, pubblicate dal MITRE all'interno della sua lista di CVE.

grafico dipendenze github

GitHub, per ogni nuova vulnerabilità annunciata, avviserà quindi gli utenti proprietari di repository e gli utenti con permessi di amministrazione, nel caso in cui vi sia una versione vulnerabile di uno dei progetti o delle librerie presenti tra le loro dipendenze. Ciò vale sempre per quanto riguarda i repository pubblici, mentre per quelli privati deve essere abilitata un'opzione apposita. In alcuni casi GitHub è in grado di suggerire un fix attraverso dei processi di machine learning.
L'utente può decidere di ricevere queste notifiche via email, notifica Web, oppure attraverso l'interfaccia utente di GitHub; può inoltre decidere di consentire la ricezione di queste notifiche ad altri utenti, o a interi team che lavorano su repository di proprietà di un'azienda o di un organizzazione.

Elia Tufarolo

Fonte Immagine
Notizie collegate
1 Commenti alla Notizia GitHub: qui bug ci cova
Ordina