هشدار گیت‌هاب به توسعه‌دهندگان هنگام استفاده از کتابخانه‌های آسیب‌پذیر

سرویس میزبانی کد گیت‌هاب به توسعه‌دهندگانی که در پروژه‌های خود از کتابخانه‌های نرم‌افزاری استفاده می‌کنند که حاوی آسیب‌پذیری‌های شناخته‌شده هستند، هشدار می‌دهد و توصیه‌هایی برای نحوه‌ی رفع این مشکل ارائه می‌کند.

گیت‌هاب اخیرا ویژگی «گراف وابستگی» را معرفی کرد که یک ویژگی در بخش Insights است که کتابخانه‌هایی که توسط یک پروژه استفاده شده‌اند را فهرست می‌کند. این ویژگی در حال حاضر از جاوا اسکریپت و روبی پشتیبانی می‌کند، و این شرکت قصد دارد پشتیبانی از پایتون را نیز در سال آینده اضافه کند.

این ویژگی امنیتی جدید که توسط گیت‌هاب اضافه شده، طراحی شده است تا وقتی یکی از وابستگی‌های پروژه‌ی توسعه‌دهندگان حاوی آسیب‌پذیری‌های شناخته شده بود، به آن‌ها هشدار دهد. گراف وابستگی و ویژگی هشدارهای امنیتی برای مخزن‌های عمومی به صورت خودکار فعال می‌شود، اما برای مخزن های خصوصی باید انتخاب شوند.

هنگامی که یک کتابخانه‌ی آسیب‌پذیر شناسایی می‌شود، یک هشدار «آسیب‌پذیری امنیتی شناخته‌شده» در کنار گراف وابستگی نمایش داده می‌شود. مدیران همچنین می‌توانند هشدارهای رایانامه‌ای، اعلان‌های وب، و هشدار از طریق رابط کاربری را پیکربندی کنند، و امکان اضافه‌ کردن گروه‌ها یا افرادی که باید این هشدارها را ببینند نیز وجود دارد.

 

     

 

گیت‌هاب پروژه‌های آسیب‌پذیر را با ردیابی آسیب‌پذیری‌های موجود در بسته‌های gem روبی و بسته‌های NPM روی فهرست آسیب‌پذیری‌های متداول MITRE و فهرست شناسه‌ی اشکالات افشاء شده شناسایی می‌کند. وقتی یک آسیب‌پذیری جدید کشف می‌شود، این شرکت تمام مخزن‌هایی که از نسخه‌‌ی آسیب‌دیده استفاده می‌کنند را شناسایی کرده و به مالکان آن‌ها اطلاع می‌دهد.

اطلاعات ارائه‌شده به مدیران شامل نوع آسیب‌پذیری، درجه‌ی اهمیت، و نسخه‌های آسیب‌دیده می‌شود. همچنین پیوندی به یک صفحه وجود دارد که جزئیات بیشتری را در دسترس قرار می‌دهد.

اگر وصله‌ای برای این آسیب‌پذیری وجود داشت، گیت‌هاب به توسعه‌دهندگان توصیه می‌کند تا به‌روزرسانی انجام دهند یا از یادگیری ماشین برای نشان دادن وصله‌ی ارائه‌شده توسط جامعه‌ی امنیتی استفاده می‌کند.

گیت‌هاب در حال حاضر آسیب‌پذیری‌هایی که دارای شناسه‌های CVE هستند را ردیابی می‌کند، اما از آن‌جایی که بسیاری از آسیب‌پذیری‌هایی که به صورت عمومی افشاء می‌شوند دارای شناسه‌های CVE نیستند، این شرکت در تلاش است تا درباره‌ی آسیب‌پذیری‌های بدون شناسه نیز به کاربران هشدار دهد. گیت‌هاب گفت: «همچنان قابلیت شناسایی آسیب‌پذیری‌های ما بهبود خواهد یافت، زیرا داده‌های امنیتی ما روز به روز بیشتر می‌شود.»

 

 

0
هنوز هیچ ستاره‌ای موجود نیست.

افزودن یک دیدگاه جدید