Die Cloud-basierte Code-Hosting-Plattform GitHub hat angekündigt, dass sie ab sofort Dependabot-Warnungen für verwundbare GitHub-Aktionen verschicken wird, um Entwicklern zu helfen, Sicherheitsprobleme in CI/CD-Workflows zu beheben.
„Wenn eine Sicherheitslücke in einer Aktion gemeldet wird, erstellt unser Team von Sicherheitsforschern ein Advisory, um die Schwachstelle zu dokumentieren, was eine Warnung an die betroffenen Repositories auslöst“, so Brittany O’Shea und Kate Catlin von GitHub.
GitHub Actions ist eine Continuous Integration and Continuous Delivery (CI/CD)-Lösung, die es den Nutzern ermöglicht, die Software-Build-, Test- und Deployment-Pipeline zu automatisieren.
Dependabot ist Teil der kontinuierlichen Bemühungen der Microsoft-Tochtergesellschaft, die Software-Lieferkette zu sichern, indem sie Nutzer/innen darüber informiert, dass ihr Quellcode von einem Paket mit einer Sicherheitslücke abhängt, und dabei hilft, alle Abhängigkeiten aktuell zu halten.
Der jüngste Schritt besteht darin, Warnungen über GitHub-Aktionen und Schwachstellen zu erhalten, die den Code von Entwicklern betreffen, wobei die Nutzer auch die Möglichkeit haben, einen Hinweis für eine bestimmte GitHub-Aktion zu übermitteln, indem sie sich an einen einheitlichen Offenlegungsprozess halten.
„Verbesserungen wie diese stärken die Sicherheit von GitHub und unseren Nutzern. Deshalb investieren wir weiterhin in eine engere Verbindung zwischen den Sicherheitslösungen von GitHub und GitHub Actions, um die Sicherheit unserer Builds zu verbessern“, so das Unternehmen.
Die Entwicklung kommt zu einem Zeitpunkt, an dem GitHub Anfang dieser Woche einen neuen Request for Comments (RFC) für ein Opt-in-System veröffentlicht hat, das es Paketbetreuern ermöglicht, in Zusammenarbeit mit Sigstore auf NPM veröffentlichte Pakete zu signieren und zu verifizieren.