Pendahuluan
Ketika Anda mulai membuat repositori di GitHub, salah satu hal pertama yang harus Anda pikirkan adalah keamanan.
Jika Anda membuat repositori GitHub Anda sendiri atau sering berkontribusi pada repositori, Anda perlu tahu apakah kode Anda mengandung kerentanan apa pun. Kerentanan dalam repositori di masa lalu menyebabkan masalah keamanan. Ini ditekankan oleh fakta bahwa dua kebocoran data terbesar belakangan ini -
Equifax dan
Heartbleed SSL Exploit - dimulai dengan kerentanan dengan komponen sumber terbuka yang sesuai yang dapat digunakan di masa depan.
Dalam posting ini, kita akan melihat dan menganalisis empat alat terpisah yang dapat Anda gunakan untuk mengidentifikasi kerentanan dalam repositori GitHub Anda. Masing-masing dari empat alat ini memiliki kekuatan super sendiri, tetapi masing-masing memiliki kelemahan. Artikel ini akan membantu Anda memilih alat yang tepat untuk proyek open source Anda.
Artikel ini diterjemahkan dengan dukungan EDISON Software, yang memberikan saran praktis kepada junior , serta merancang perangkat lunak dan menulis TK dalam bahasa Rusia dan Inggris .
GuardRails adalah aplikasi keamanan freemium yang tersedia di
pasar GitHub . GuardRails dapat memberikan analisis kode statis serta mengidentifikasi dependensi yang rentan. Dia menulis komentar ke kumpulan permintaan dengan kerentanan.
Aplikasi itu sendiri akan memindai entri baru dalam kode pengguna secara real time, yang memungkinkan pengguna untuk dengan cepat mengambil tindakan untuk menghilangkan kerentanan segera setelah muncul. Ini membantu melindungi repositori dan kode dari penyusup. Mengenai kumpulan permintaan, GuardRails akan menulis komentar pada setiap permintaan ketika mendeteksi masalah keamanan, dan dengan cabang informasi ini akan ditampilkan di dashboard GuardRails Anda.
Prinsip panduan layanan GuardRails adalah pengaturannya yang komprehensif dan cepat, di mana pengguna dapat mengintegrasikan GuardRails dengan semua repositori mereka dalam hitungan menit. Anda juga dapat mengintegrasikan GuardRails dengan Slack sehingga pemberitahuan menjangkau Anda dengan lebih efisien.
GuardRails saat ini mendukung Python, Ruby, JavaScript, Solidity, Go, Java, dan PHP.
WhiteSource Bolt membantu pengguna GitHub membuat pindaian repositori mereka, memungkinkan mereka untuk mengidentifikasi kerentanan open source yang mungkin muncul dalam kode. Ini disediakan oleh WhiteSource, seorang spesialis di bidang keamanan, perizinan dan pelaporan di bidang sumber terbuka. Mereka telah beroperasi di pasar sejak 2011 dan dapat mengandalkan bantuan lebih dari 2,1 juta pengembang yang berbeda.
Layanan mereka bekerja sedemikian rupa sehingga setiap kali tindakan push terjadi, Bolt mulai memindai repositori Anda, dan kemudian menciptakan masalah untuk setiap kerentanan yang terdeteksi. Ini juga akan menciptakan masalah untuk kerentanan baru yang telah ditemukan dengan komponen kode sumber terbuka yang ada. Selain itu, ini dapat mencegah komponen rentan dari memasukkan kode dengan secara otomatis membatalkan kumpulan permintaan yang mengandung kerentanan.
Bolt juga memberikan para penggunanya akses ke database kerentanan WhiteSource sendiri, yang luas dan dianggap oleh banyak orang sebagai pasar keamanan sumber terbuka yang paling mahal. Anda akan menerima beberapa informasi tentang kerentanan apa pun yang terdeteksi, termasuk data CVE dan CVSS, perbaikan yang disarankan, jalur ke komponen yang rentan, dan tautan untuk bantuan.
Bolt saat ini mendukung lebih dari 200 program yang berbeda, termasuk Java, Python, PHP, C #, C ++ dan lainnya.
LGTM adalah aplikasi proyek sumber terbuka gratis yang membantu pengguna mendeteksi kerentanan potensial dalam kode mereka dan juga mencegah mereka terjadi di tempat pertama. Secara khusus, LGTM menggunakan data yang dikumpulkan oleh tim peneliti keamanan yang berfokus pada menemukan kerentanan zero-day. Lebih dari 700.000 pengembang dan lebih dari 135.000 proyek open source telah mendapat manfaat dari layanan LGTM, dan tingkat pengalaman ini membuktikan kualitas layanan mereka. Aplikasi LGTM GitHub tersedia di pasar GitHub.
Saat bekerja di repositori Anda, LGTM dapat secara otomatis memindai kode Anda, memeriksa kerentanan dan CVE yang bisa muncul. Berkat komunitas besar para pengembang dan peneliti LGTM yang berpengalaman, Anda memahami bahwa layanan yang mereka berikan dapat sangat bermanfaat bagi keamanan repositori Anda. Ini membuatnya lebih mudah daripada mempertahankan log kueri dan dengan itu, Anda dapat mendeteksi potensi kerentanan sebelum mereka memasukkan basis kode.
LGTM saat ini memiliki sejumlah besar bahasa pemrograman yang didukung, yang dukungannya meluas ke C, C ++. COBOL, Python, Javascript, dan Java.
GitHub Security Alerts adalah layanan gratis yang diberikan kepada pemilik dan anggota repositori GitHub dengan dependensi. Menggunakan grafik dependensi mereka sendiri, pengguna akan dapat melihat ketika ada kerentanan dalam dependensi mereka, dan akan memberikan saran kepada pengguna untuk memperbaiki kerentanan ini.
Ketika GitHub memberi tahu Anda tentang kerentanan potensial, Anda akan menerima pembaruan di mana GitHub akan memberi tahu Anda tentang dependensi mana yang perlu diperbarui. Jika ada versi aman dari dependensi yang diketahui, GitHub akan memilih satu untuk Anda menggunakan pembelajaran mesin, dan itu akan dimasukkan pada rekomendasi.
Ketika sampai pada informasi tentang setiap kerentanan, GitHub memberi tahu Anda tentang kerentanan yang memengaruhi, kisaran versi yang dipengaruhinya, ID CVE, dan setiap perbaikan yang diajukan yang terkandung dalam database kerentanan.
Layanan saat ini mendukung JavaScript, Ruby, dan Python.
Baca juga blognya
Perusahaan EDISON:
20 perpustakaan untuk
aplikasi iOS yang spektakuler