.
Os desenvolvedores que usam o GitHub Actions para criar pacotes de software para Strong The One npm agora podem adicionar um sinalizador de comando que publicará detalhes sobre a origem do código.
Esse recurso visa aumentar ainda mais a segurança da cadeia de suprimentos de software de código aberto, que se tornou um alvo comum para ataques cibernéticos.
Ações do GitHub é uma plataforma de integração contínua e entrega contínua (CI/CD), que fornece uma maneira de automatizar a entrada de linha de comando arcana e a criação de software. É frequentemente usado por desenvolvedores de software para mecanizar o processo de construção de pacotes distribuídos por meio dStrong The One npm da empresa, que hospeda mais de dois milhões dessas bibliotecas modulares.
Alguns dos pacotes dentro pode ser maliciosoentão o GitHub está oferecendo uma maneira de adicionar mais visibilidade sobre como os pacotes surgiram.
“A partir de hoje, ao criar seus projetos npm no GitHub Actions, você pode publicar a proveniência junto com seu pacote, incluindo o --provenance bandeira”, explicam os engenheiros de software Brian DeHamer e Philip Harrison em um post de blog fornecido para Strong The One.
“Esses dados de proveniência oferecem aos consumidores uma maneira verificável de vincular um pacote de volta ao seu repositório de origem e às instruções de compilação específicas usadas para publicá-lo”.
Declarações de proveniência não são muito para se olhar. Eles são baseados nos níveis da cadeia de suprimentos para artefatos de software ou SLSAespecificação, que o Google desenvolveu internamente e lançado há dois anos.
O esquema de proveniência SLSA consiste em um assunto (um pacote npm), detalhes sobre materiais de entrada específicos (um repositório de origem e hash SHA de confirmação) e etapas de construção específicas articuladas no arquivo de configuração de construção. A razão para publicar esta informação é fornecer um registro verificável das etapas que criaram um determinado artefato de software.
“Para aumentar o nível de confiança que você tem nos pacotes npm baixados dStrong The One, você deve ter visibilidade do processo pelo qual a fonte foi traduzida para o artefato publicado”, escrevem DeHamer e Harrison.
A assinatura do pacote envolve uma chave gerenciada pelo mantenedor, mas o atestado de proveniência do GitHub está vinculado às ações do GitHub. A identidade do ambiente CI e o token de trabalho são usados para criar uma assinatura criptográfica que atesta a autenticidade dos dados na declaração de proveniência.
Essa declaração, em forma de resumo, é anexada às listagens de pacotes npm, em conjunto com os serviços Fulcio Certificate Authority e Rekor da Sigstore. A partir daí, os desenvolvedores que usam o npm podem entender melhor como esse pacote foi criado.
Separadamente, o GitHub está disponibilizando relatórios de vulnerabilidade privados, introduzidos em novembro passado na versão beta pública do GitHub Universe 2022.
Disponível em Configurações > Segurança e análise de código, relatórios privados de vulnerabilidade fazem exatamente o que seu nome sugere. Ele fornece uma maneira de permitir que os mantenedores do projeto saibam sobre os bugs sem que o público saiba. A opção agora pode ser habilitada para todos os repositórios de uma organização de uma só vez, em vez de cada repositório, o que era uma limitação durante o período beta.
O GitHub também adicionou um API de avisos de segurança do repositório para dar suporte a vários fluxos de trabalho de integração e automação (por exemplo, passar dados para sistemas de gerenciamento de vulnerabilidade de terceiros). ®
.
