GitHub, il servizio di hosting per progetti software più usato al mondo, ha recentemente introdotto una nuova funzionalità , con la finalità di aiutare gli utenti a manutenere il codice, per quanto riguarda l’ambito della sicurezza, e quindi di ridurre il numero di progetti vulnerabili ospitati dalla piattaforma.
La nuova funzionalità va ad estendere il Dependency Graph rilasciato lo scorso mese . Esso è in grado di restituire la lista delle dipendenze di un certo progetto ed attualmente supporta i linguaggi di programmazione Ruby e Javascript (il supporto a Python è in dirittura d’arrivo). Il Dependency Graph è ora in grado di avvisare l’utente se una o più dipendenze relative ad un dato progetto sono affette da vulnerabilità note , pubblicate dal MITRE all’interno della sua lista di CVE.
GitHub , per ogni nuova vulnerabilità annunciata, avviserà quindi gli utenti proprietari di repository e gli utenti con permessi di amministrazione , nel caso in cui vi sia una versione vulnerabile di uno dei progetti o delle librerie presenti tra le loro dipendenze. Ciò vale sempre per quanto riguarda i repository pubblici, mentre per quelli privati deve essere abilitata un’opzione apposita . In alcuni casi GitHub è in grado di suggerire un fix attraverso dei processi di machine learning .
L’utente può decidere di ricevere queste notifiche via email, notifica Web, oppure attraverso l’interfaccia utente di GitHub ; può inoltre decidere di consentire la ricezione di queste notifiche ad altri utenti, o a interi team che lavorano su repository di proprietà di un’azienda o di un organizzazione.
Elia Tufarolo