Introduccion
Cuando comienzas a crear un repositorio en GitHub, una de las primeras cosas en las que debes pensar es en la seguridad.
En caso de que est茅 creando su propio repositorio de GitHub o que a menudo contribuya al repositorio, debe saber si su c贸digo contiene alguna vulnerabilidad. Vulnerabilidades en repositorios en el pasado causaron problemas de seguridad. Esto fue enfatizado por el hecho de que dos de las mayores filtraciones de datos en los 煤ltimos tiempos,
Equifax y
Heartbleed SSL Exploit , comenzaron con vulnerabilidades con los componentes de c贸digo abierto correspondientes que podr铆an usarse en el futuro.
En esta publicaci贸n, analizaremos y analizaremos cuatro herramientas separadas que puede usar para identificar vulnerabilidades en su repositorio de GitHub. Cada una de estas cuatro herramientas tiene sus propios superpoderes, pero cada uno tiene sus debilidades. Este art铆culo lo ayudar谩 a elegir la herramienta adecuada para su proyecto de c贸digo abierto.
Este art铆culo fue traducido con el apoyo de EDISON Software, que brinda consejos pr谩cticos a los j贸venes , adem谩s de dise帽ar software y escribir TK en ruso e ingl茅s .
GuardRails es una aplicaci贸n de seguridad gratuita disponible en
el mercado de GitHub . GuardRails puede proporcionar an谩lisis de c贸digo est谩tico, as铆 como identificar dependencias vulnerables. Escribe comentarios al grupo de solicitudes con vulnerabilidades.
La aplicaci贸n en s铆 escanear谩 nuevas entradas en el c贸digo de usuario en tiempo real, lo que permite a los usuarios tomar medidas r谩pidamente para eliminar vulnerabilidades casi inmediatamente despu茅s de que aparezcan. Esto ayuda a proteger el repositorio y el c贸digo de intrusos. Con respecto al grupo de solicitudes, GuardRails escribir谩 comentarios sobre cada solicitud cuando detecte un problema de seguridad, y con las ramas esta informaci贸n se mostrar谩 en su panel de GuardRails.
El principio rector del servicio GuardRails es su configuraci贸n completa y r谩pida, en la que los usuarios pueden integrar GuardRails con todos sus repositorios en minutos. Tambi茅n puedes integrar GuardRails con Slack para que las notificaciones te lleguen de manera m谩s eficiente.
GuardRails actualmente es compatible con Python, Ruby, JavaScript, Solidity, Go, Java y PHP.
WhiteSource Bolt ayuda a los usuarios de GitHub a crear escaneos de sus repositorios, lo que les permite identificar vulnerabilidades de c贸digo abierto que pueden aparecer en el c贸digo. Lo proporciona WhiteSource, un especialista en el campo de la seguridad, las licencias y los informes en el campo del c贸digo abierto. Han estado operando en el mercado desde 2011 y pueden contar con la ayuda de m谩s de 2.1 millones de desarrolladores diferentes.
Su servicio funciona de tal manera que cada vez que ocurre una acci贸n de inserci贸n, Bolt comienza a escanear su repositorio y luego crea un problema para cada vulnerabilidad detectada. Tambi茅n crear谩 problemas para las nuevas vulnerabilidades que se han descubierto con los componentes de c贸digo abierto existentes. Adem谩s, puede evitar que los componentes vulnerables ingresen al c贸digo al cancelar autom谩ticamente un conjunto de solicitudes que contienen vulnerabilidades.
Bolt tambi茅n proporciona a sus usuarios acceso a su propia base de datos de vulnerabilidad WhiteSource, que es extensa y que muchos consideran el mercado de seguridad de c贸digo abierto m谩s costoso. Recibir谩 informaci贸n sobre las vulnerabilidades detectadas, incluidos los datos de CVE y CVSS, las correcciones sugeridas, las rutas a los componentes vulnerables y los enlaces para obtener ayuda.
Actualmente, Bolt admite m谩s de 200 programas diferentes, incluidos Java, Python, PHP, C #, C ++ y otros.
LGTM es una aplicaci贸n de proyecto de c贸digo abierto que ayuda a los usuarios a detectar posibles vulnerabilidades en su c贸digo y tambi茅n evita que ocurran en primer lugar. En particular, LGTM utiliza datos recopilados por un equipo de investigaci贸n de seguridad que se enfoca en encontrar vulnerabilidades de d铆a cero. M谩s de 700,000 desarrolladores y m谩s de 135,000 proyectos de c贸digo abierto se han beneficiado de los servicios LGTM, y este nivel de experiencia da fe de la calidad de sus servicios. La aplicaci贸n LGTM GitHub est谩 disponible en el mercado de GitHub.
Al trabajar en su repositorio, LGTM puede escanear autom谩ticamente su c贸digo, buscando vulnerabilidades y CVE que puedan aparecer. Gracias a la gran comunidad de desarrolladores e investigadores LGTM experimentados, comprende que los servicios que brindan pueden ser de gran beneficio para la seguridad de su repositorio. Esto hace que sea a煤n m谩s f谩cil que mantener un registro de consultas y con 茅l, puede detectar posibles vulnerabilidades antes de que entren en la base del c贸digo.
LGTM actualmente tiene una gran cantidad de lenguajes de programaci贸n compatibles, cuyo soporte se extiende a C, C ++. COBOL, Python, Javascript y Java.
GitHub Security Alerts es un servicio gratuito proporcionado a propietarios y miembros de repositorios de GitHub con dependencias. Usando su propio gr谩fico de dependencia, los usuarios podr谩n ver cu谩ndo hay vulnerabilidades en sus dependencias, y proporcionar谩n a los usuarios sugerencias para corregir estas vulnerabilidades.
Cuando GitHub le notifique sobre una posible vulnerabilidad, recibir谩 una actualizaci贸n en la que GitHub le informar谩 sobre cu谩les de sus dependencias deben actualizarse. Si se conoce una versi贸n segura de la dependencia, GitHub elegir谩 una para usted mediante el aprendizaje autom谩tico y se incluir谩 en la recomendaci贸n.
Cuando se trata de informaci贸n sobre cada vulnerabilidad, GitHub le dice a qu茅 vulnerabilidad afecta, el rango de versiones que afecta, el ID de CVE y cualquier correcci贸n propuesta contenida en la base de datos de vulnerabilidades.
El servicio actualmente admite JavaScript, Ruby y Python.
Lee tambi茅n el blog
Empresa EDISON:
20 bibliotecas para
espectacular aplicaci贸n para iOS