GitHub dodaje narzędzia bezpieczeństwa łańcucha dostaw dla języka Rust

Funkcje bezpieczeństwa łańcucha dostaw GitHuba, w tym baza danych z poradami, alerty Dependabot i wykres zależności, są teraz dostępne dla plików Rust Cargo.

Jarda Šma /Pixabay

Mając na celu pomoc programistom języka Rust w odkrywaniu i zapobieganiu lukom bezpieczeństwa, GitHub udostępnił swój pakiet funkcji bezpieczeństwa łańcucha dostaw dla szybko rozwijającego się języka Rust.

Funkcje te obejmują GitHub Advisory Database, w której znajduje się już ponad 400 porad dotyczących bezpieczeństwa języka Rust, a także alerty i aktualizacje Dependabot oraz obsługę grafu zależności, zapewniającego ostrzeżenia o podatnych na ataki zależnościach w plikach pakietów Cargo języka Rust. Użytkownicy Rusta mogą zgłaszać luki w zabezpieczeniach i ostatecznie zapobiegać im, korzystając z GitHuba.

Zobacz również:

  • Meta postawiła na język Rust
  • Copilot pomoże programistom tworzyć aplikacje wykorzystujące sztuczną inteligencję
  • Zrozumienie ataku API: od czego zacząć obronę?

GitHub Advisory Database jest bazą danych zawierającą informacje o błędach bezpieczeństwa, które mogą zostać wykorzystane przez programistów. Większość słabych punktów cytowanych w bazie pochodzi z RustSec, organizacji, która publikuje ostrzeżenia związane z bezpieczeństwem bibliotek Rust. Opiekunowie pakietów Rust mogą korzystać z biuletynów bezpieczeństwa, aby współpracować z osobami zgłaszającymi luki w celu prywatnego przedyskutowania i naprawienia ich przed publicznym ogłoszeniem. Programiści mogą zgłaszać luki w Rust za pomocą CVE poprzez wkład społeczności.

Graf zależności GitHuba analizuje pliki Cargo.toml i Cargo.lock repozytorium, aby określić zależności w projekcie. Graf zależności wspiera Dependabota, który ostrzega deweloperów o znanych lukach i tworzy żądania aktualizacji zależności, których one dotyczą. Podczas gdy graf zależności jest domyślnie włączony w repozytoriach publicznych, programiści muszą go włączyć w repozytoriach prywatnych.

Jeśli wykres zależności dla publicznego repozytorium nie został jeszcze uzupełniony, to wkrótce zostanie, jak poinformował GitHub. Obsługa grafów zależności dla Rusta jest wprowadzana w dwóch fazach. Pełne metadane pakietów dla zależności Rust, w tym mapowanie pakietów do repozytoriów GitHuba, mają być dostępne w przyszłym wydaniu.

Programiści mogą zapobiec wprowadzaniu luk w Rust dzięki akcji GitHub Review, która skanuje żądania zmian w zależnościach Rust i identyfikuje, czy nowe zależności mają znane luki. Programiści mogą wtedy zablokować ich włączenie do kodu. GitHub oferuje wskazówki dotyczące zabezpieczania repozytoriów Rust w Dokumentach GitHuba.

Źródło: InfoWorld

W celu komercyjnej reprodukcji treści Computerworld należy zakupić licencję. Skontaktuj się z naszym partnerem, YGS Group, pod adresem [email protected]

TOP 200