GitHub güncellemeleri: şubeler için özel güvenlik açığı raporları ve kuralları
GitHub, Git barındırma ve npm paket kayıt defterine üç yeni özellik ekledi. Yeniliklerin merkezinde güvenlik ve konfor yer alır.
İlk yenilik, npm kayıt defteri ile ilgilidir. Çözülmesi gereken sorun, bir npm paketinin ilgili kodu içeren bir havuza yalnızca çok gevşek bir şekilde bağlı olmasıdır. Paket oluşturmak ve bunları npm’ye taşımak, bir CI/CD ortamı aracılığıyla otomatik olarak yapılabilir, ancak paketleri el ile de yayınlayabilirsiniz; bu, kimlik bilgilerini ele geçiren saldırganlar için kolay bir giriş noktasıdır. Paket kullanıcıları için bir güven sorunu ortaya çıkar: Bir paketin, genel bir depoda görebildikleri koda dayalı olduğuna inanmaları yeterlidir.
GitHub, Sigstore projesinin araç kutusunu kullanır
“npm Paket Kaynağı” işlevi daha fazla güven oluşturmalıdır. Şimdiye kadar, yalnızca paket sağlayıcılar GitHub tam paketini kullanıyorsa ve kod depolarından GitHub’ın kendi CI/CD’si tarafından oluşturulmuş ve npm’ye yerleştirilmişse çalışır. Açık kaynak projelerinden genel paketler için ücretsizdir. Duyuruya eşlik eden blog gönderisinde GitHub, gelecekte diğer CI/CD sağlayıcılarıyla işbirliği yapma sözü veriyor.
Kodun kaynağını belgeleyen SLSA formatında (Supply-chain Levels for Software Artifacts) bir belge oluşturulur. Bu belge, Sigstore projesindeki GitHub’ın araç seti kullanılarak imzalanmıştır. npm web arayüzü, yeşil bir onay işaretiyle böyle bir imzayı gösterir. Paketin bir kullanıcısı olarak, bir paketin hangi sürümünün temel alındığını doğrudan görebilirsiniz. 9.5.0 sürümünden itibaren, npm CLI’nin şu komutu desteklediği söyleniyor: npm audit signatures imzaları değerlendirmek için usta.
Özel güvenlik açığı raporları
Açık kaynak projelerinin güvenliğini artırmayı amaçlayan bir özellik, beta aşamasından çıkıyor. “Özel Güvenlik Açığı Raporları” kullanıma sunulmadan önce, bulunan güvenlik açıklarını proje yöneticilerine göstermek her zaman kolay değildi. Kamuya açık bir konunun uygun olduğu kanıtlanmadı. Bu sorun, bakıcıların posta adreslerini herkese açık hale getirmek zorunda kalmadan çalışan özel mesajlarla çözülür. Sorunlar Github web arayüzü üzerinden bildirilebilir.
Beta sürümünün sona ermesiyle birlikte GitHub, test aşamasından gelen geri bildirimleri de uyguladı. Yeni olan, işlevi bir kuruluşun tüm depoları için tek tıklamayla etkinleştirebilmenizdir.
Şube koruma kuralları yerine kural kümeleri
GitHub, beta aşamasına yeni başlayan bir özellikle rahatlığı artırıyor. GitHub, daha büyük kuruluşlardaki kullanıcıların yoğun talebi üzerine şube koruma kurallarını gözden geçiriyor ve onların halefi olan kural setlerini çağırıyor. Şube koruma kurallarında, kimin hangi şubelerde hangi eylemleri gerçekleştirmesine izin verildiğini çok basit bir şekilde kontrol edebilirsiniz. Yeni kural kümeleri, daha esnek yetkilendirme denetimlerine olanak tanır ve çok sayıda havuza sahip kuruluşların bunları merkezi bir konumda tanımlamasını kolaylaştırır.
GitHub kullanıcılarının yeni kural kümelerini denemek için bir beta sürümüne kaydolmaları gerekmez. Yeni menü öğesi Kural Kümeleri, havuz ayarlarında görünür ve yeşil bir beta simgesiyle işaretlenir.
(yum)
Haberin Sonu