GitHub heeft Dependency Review GitHub Action uitgebracht. De tool laat gebruikers pull requests scannen op nieuwe dependancies die mogelijk (supply chain) kwetsbaarheden introduceren.
Met de introductie van de Dependency Review GitHub Action-tool zijn ontwikkelaars in staat (supply chain) kwetsbaarheden te vinden die nu alleen zichtbaar worden in de rijke informatie van pull requests.
De kwetsbaarheden worden gevonden door het scannen van pull requests op veranderingen in dependencies tegenover de GitHub Advisory Database. De database bevat een verzameling van CVE’s en andere adviezen over securityfouten in open-source software. De tool checkt of de nieuwe dependencies mogelijk kwetsbaarheden bevatten.
Alerts en contextuele adviezen
In het geval van een positieve reactie, krijgen ontwikkelaars een alert zodat zij zien welke dependency de kwetsbaarheid bevat. Met behulp van een contextueel advies kunnen zij de kwetsbaarheid repareren.
Verder geeft de tool informatie over welke dependencies zijn toegevoegd, verwijderd of van een update zijn voorzien, inclusief de release data. Ook laat de tool zien hoeveel projecten deze onderdelen gebruiken en meer gegevens over de kwetsbaarheden voor de dependencies.
Implementatie en beschikbaarheid
Ontwikkelaars kunnen met een API endpoint de Dependency Review GitHub Action-tool in de workflows van bestaande projecten implementeren. Dit kan via de Actions-tab onder het Security-menu of direct vanuit de GitHub Marketplace.
Dependency Review GitHub Action is nu in public bèta beschikbaar voor alle public repositories en voor private repositories. Voor deze laatste groep geldt dat bedrijven GitHub Enterprise Cloud moeten gebruiken, in combinatie met een licentie voor GitHub Advanced Security.
Tip: GitHub Advisory Database nu open voor bijdragen van gebruikers