براساس اعلام گیتهاب، این پلتفرم اکنون یک هشدار Dependabot را برای GitHub Actions آسیبپذیر ارسال میکند تا شما با استفاده از آن بتوانید هم بهروز بمانید و هم آسیبپذیریهای امنیتی موجود در کدهای خود را برطرف کنید.
GitHub Actions ابزار یکپارچهسازی و تحویل ادامهدار در پلتفرم یا همان CI/CD است که به کاربران اجازه میدهد تا روند توسعه نرمافزار خود را به صورتی کاملا خودکار پیش ببرند. هشدارهای جدید توسط GitHub Advisory Database که پایگاهدادهای مخصوص آسیبپذیرهای امنیتی شامل آسیبپذیریهای رایج و راهحلهای مواجه با آن یا CVE و توصیههای امنیتی خود گیتهاب است که از دنیای نرمافزارهای منبع باز یا همان Open Source نشئت گرفته، ارائه میشود.
برای دریافت هشدار در مورد GitHub Actions و آسیبپذیریهای احتمالی که روی کد شما تاثیر خواهند گذاشت، میتوانید Dependabot را با انتخاب گزینه Enable all در تب Code security and analysis فعال کنید. البته، اگر شما از قبل از قابلیت Dependabot استفاده میکردید، نیازی به انجام کارهای اضافهتری نیست و به راحتی میتوانید از آن بهره کافی را ببرید.
شما همچنین میتوانید قسمت از دانش خود را برای کمک به سایر کاربران ارائه دهید تا محیطی امنتر در گیتهاب فراهم بیاید. اگر شما اکنون یک GitHub Action دارید و آسیبپذیری احتمالی را کشف کردهاید، میتوانید فرایند ایجاد توصیههای امنیتی را از تب امنیتی موجود در مخزن یا همان repository خود شروع کنید.
در زمانی که توصیههای امنیتی در مورد یک repository ایجاد و در اکوسیستم GitHub Action برچسبگذاری شد، تیم پشتیبانی گیتهاب آن را بررسی میکنند و در صورت لزوم به همه کاربران هشدار خواهند داد.
گیتهاب تنها شرکتی نیست که اکنون قصد دارد تا برخی از آسیبپذیریهای مربوط به کدهای منبع باز را پیدا کند. این آسیبپذیریها یکی از هیجانانگیزترین موارد برای هکرها هستند که با استفاده از آن میتوانند تعداد بسیار زیادی از پلتفرمها را هدف قرار دهند.
این موضوعی است که توجه شرکتهای فعال در زمینه تکنولوژی را به سمت خودش جلب کرده، چونکه این سبک از آسیبپذیریها اصلیترین علت برخی از مخربترین حملات سایبری چند سال گذشته از جمله Log4j بوده است.
گوگل اخیرا اعلام کرده است که به اولویت دادن به امنیت پلتفرمهای منبع باز ادامه خواهد داد و از دیگران نیز میخواهد که همین کار را انجام دهند، چرا که سلامت و در دسترس بودن پروژههای منبع باز وضعیت امنیتی کاربران و توسعهدهندگان را در همه جا تقویت میکند.