GitHub lanza una actualización que mejorará la seguridad de tu código

Rubén Castro, 15 agosto 2022

Han comenzado los Días sin IVA de Zococity con ofertas en todas las categorías!!!

Ver ofertas

GitHub notificará a Dependabot cada vez que una Acción de GitHub tenga un fallo de seguridad, lo que hace mucho más sencillo estar al día y solucionar cualquier problema que pueda surgir.

El proceso de desarrollo de software en GitHub se automatiza mediante el uso de GitHub Actions.

Las nuevas notificaciones se apoyarán en la base de datos de avisos de GitHub, que contiene CVEs así como avisos de seguridad que se originaron en GitHub y fueron generados por aplicaciones de código abierto.

¿Cómo se habilita esta opción?

Para recibir notificaciones sobre las Acciones de GitHub y las vulnerabilidades del código, activa Dependabot seleccionando “Activar todo” en el apartado Seguridad y análisis del código.

Si ya estás utilizando Dependabot, no necesitas realizar ninguna acción.

Puedes ayudar a otras personas transmitiendo parte de la información de seguridad que tienes.

Si eres el propietario de una acción de GitHub y descubres una vulnerabilidad, debes crear un aviso desde la página de seguridad de tu repositorio.

El equipo de curación revisará el aviso del repositorio después de haberlo creado y anotado en GitHub Action. Si se determina que es necesario un aviso global, se generará uno.

Aquí tienes más información sobre las dependencias vulnerables de GitHub.

Github no es la única empresa que trabaja para parchear las vulnerabilidades del código abierto, que los ciberdelincuentes utilizan para hacerse con el control de los terminales.

Algunos de los ciberataques más dañinos de los últimos años se han llevado a cabo aprovechando las debilidades del software de código abierto, como el hackeo de Log4j.

Recientemente, Google declaró que “seguirá haciendo de la seguridad del código abierto una prioridad e instará a otros a hacer lo mismo”..