Présentation
Lorsque vous commencez à créer un référentiel sur GitHub, l'une des premiÚres choses à laquelle vous devez penser est la sécurité.
Dans le cas oĂč vous crĂ©ez votre propre rĂ©fĂ©rentiel GitHub ou contribuez souvent au rĂ©fĂ©rentiel, vous devez savoir si votre code contient des vulnĂ©rabilitĂ©s. Des vulnĂ©rabilitĂ©s dans les rĂ©fĂ©rentiels dans le passĂ© ont causĂ© des problĂšmes de sĂ©curitĂ©. Cela a Ă©tĂ© soulignĂ© par le fait que deux des plus grandes fuites de donnĂ©es ces derniers temps -
Equifax et
Heartbleed SSL Exploit - ont commencĂ© avec des vulnĂ©rabilitĂ©s avec des composants open source correspondants qui pourraient ĂȘtre utilisĂ©s Ă l'avenir.
Dans cet article, nous examinerons et analyserons quatre outils distincts que vous pouvez utiliser pour identifier les vulnérabilités dans votre référentiel GitHub. Chacun de ces quatre outils a ses propres super-pouvoirs, mais chacun a ses faiblesses. Cet article vous aidera à choisir le bon outil pour votre projet open source.
Cet article a été traduit avec le soutien d'EDISON Software, qui donne des conseils pratiques aux juniors , conçoit des logiciels et écrit des savoirs traditionnels en russe et en anglais .
GuardRails est une application de sécurité freemium disponible sur
le marché de GitHub . GuardRails peut fournir une analyse de code statique ainsi que l'identification des dépendances vulnérables. Il écrit des commentaires dans le pool de demandes avec des vulnérabilités.
L'application elle-mĂȘme analysera les nouvelles entrĂ©es dans le code utilisateur en temps rĂ©el, ce qui permet aux utilisateurs de prendre rapidement des mesures pour Ă©liminer les vulnĂ©rabilitĂ©s presque immĂ©diatement aprĂšs leur apparition. Cela permet de protĂ©ger le rĂ©fĂ©rentiel et le code contre les intrus. Concernant le pool de demandes, GuardRails rĂ©digera des commentaires pour chaque demande lorsqu'il dĂ©tecte un problĂšme de sĂ©curitĂ©, et avec les branches, ces informations seront affichĂ©es sur votre tableau de bord GuardRails.
Le principe directeur du service GuardRails est sa configuration complÚte et rapide, dans laquelle les utilisateurs peuvent intégrer GuardRails à tous leurs référentiels en quelques minutes. Vous pouvez également intégrer GuardRails à Slack afin que les notifications vous parviennent plus efficacement.
GuardRails prend actuellement en charge Python, Ruby, JavaScript, Solidity, Go, Java et PHP.
WhiteSource Bolt aide les utilisateurs de GitHub à créer des analyses de leurs référentiels, leur permettant d'identifier les vulnérabilités open source qui peuvent apparaßtre dans le code. Il est fourni par WhiteSource, un spécialiste dans le domaine de la sécurité, des licences et du reporting dans le domaine de l'open source. Ils opÚrent sur le marché depuis 2011 et peuvent compter sur l'aide de plus de 2,1 millions de développeurs différents.
Leur service fonctionne de telle maniĂšre que chaque fois qu'une action push se produit, Bolt commence Ă analyser votre rĂ©fĂ©rentiel, puis crĂ©e un problĂšme pour chaque vulnĂ©rabilitĂ© dĂ©tectĂ©e. Cela crĂ©era Ă©galement des problĂšmes pour les nouvelles vulnĂ©rabilitĂ©s dĂ©couvertes avec les composants de code open source existants. En outre, il peut empĂȘcher les composants vulnĂ©rables d'entrer dans le code en annulant automatiquement un pool de demandes contenant des vulnĂ©rabilitĂ©s.
Bolt fournit également à ses utilisateurs un accÚs à sa propre base de données de vulnérabilité WhiteSource, qui est vaste et considérée par beaucoup comme le marché de la sécurité open source le plus cher. Vous recevrez des informations sur les vulnérabilités détectées, y compris les données CVE et CVSS, les correctifs suggérés, les chemins d'accÚs aux composants vulnérables et les liens pour obtenir de l'aide.
Bolt prend actuellement en charge plus de 200 programmes différents, dont Java, Python, PHP, C #, C ++ et autres.
LGTM est une application de projet open source gratuite qui aide les utilisateurs Ă identifier les vulnĂ©rabilitĂ©s potentielles dans leur code et les empĂȘche Ă©galement de se produire en premier lieu. En particulier, LGTM utilise les donnĂ©es collectĂ©es par une Ă©quipe de recherche en sĂ©curitĂ© qui se concentre sur la recherche de vulnĂ©rabilitĂ©s zero-day. Plus de 700 000 dĂ©veloppeurs et plus de 135 000 projets open source ont bĂ©nĂ©ficiĂ© des services LGTM, et ce niveau d'expĂ©rience atteste de la qualitĂ© de leurs services. L'application LGTM GitHub est disponible sur le marchĂ© GitHub.
Lorsque vous travaillez dans votre rĂ©fĂ©rentiel, LGTM peut analyser automatiquement votre code, recherchant les vulnĂ©rabilitĂ©s et CVE qui pourraient apparaĂźtre. GrĂące Ă la grande communautĂ© de dĂ©veloppeurs et de chercheurs LGTM expĂ©rimentĂ©s, vous comprenez que les services qu'ils fournissent peuvent ĂȘtre trĂšs utiles Ă la sĂ©curitĂ© de votre rĂ©fĂ©rentiel. Cela le rend encore plus facile que de maintenir un journal de requĂȘte et avec lui, vous pouvez dĂ©tecter les vulnĂ©rabilitĂ©s potentielles avant qu'elles n'entrent dans la base de code.
LGTM dispose actuellement d'un grand nombre de langages de programmation pris en charge, dont la prise en charge s'Ă©tend au C, C ++. COBOL, Python, Javascript et Java.
GitHub Security Alerts est un service gratuit fourni aux propriétaires et aux membres des référentiels GitHub avec des dépendances. En utilisant leur propre graphe de dépendances, les utilisateurs pourront voir quand il y a des vulnérabilités dans leurs dépendances et leur fournir des suggestions pour corriger ces vulnérabilités.
Lorsque GitHub vous informe d'une vulnĂ©rabilitĂ© potentielle, vous recevrez une mise Ă jour dans laquelle GitHub vous indiquera laquelle de vos dĂ©pendances doit ĂȘtre mise Ă jour. S'il existe une version sĂ»re connue de la dĂ©pendance, GitHub en choisira une pour vous Ă l'aide de l'apprentissage automatique, et elle sera incluse dans la recommandation.
En ce qui concerne les informations sur chaque vulnérabilité, GitHub vous indique quelle vulnérabilité elle affecte, la gamme de versions qu'elle affecte, l'ID CVE et tous les correctifs proposés contenus dans la base de données de vulnérabilité.
Le service prend actuellement en charge JavaScript, Ruby et Python.
Lisez aussi le blog
Société EDISON:
20 bibliothĂšques pour
application iOS spectaculaire