GitHub anuncia nuevas actualizaciones para mejorar la seguridad de la cadena de suministro

GitHub ha lanzado dos actualizaciones diseñadas para ayudar a proteger las cadenas de suministro de software. La compañía anunció una versión beta pública de Artifact Attestations para GitHub Actions, que facilita a las empresas verificar de dónde provienen los componentes de software, y anunció que Dependabot ahora puede ejecutarse como un flujo de trabajo de GitHub Actions. Artifact Attestation permite a los mantenedores de software de código abierto crear fácilmente un rastro impreso del software que están creando, de modo que los usuarios de ese software puedan verificar de dónde vino y cómo se creó. Las notificaciones incluyen un enlace al flujo de trabajo asociado con el artefacto, junto con otra información relevante como el repositorio, la organización, el entorno, el SHA de confirmación y el evento desencadenante. “Existe una necesidad creciente en las empresas y en el ecosistema de código abierto de tener una forma verificable de vincular los artefactos de software con el código fuente y las instrucciones de compilación. Y con más de 100 millones de desarrolladores que confían en GitHub, queremos asegurarnos de que tengan las herramientas que necesitan para proteger la integridad de su cadena de suministro de software”, Trevor Rosen, director de personal técnico para la seguridad de la cadena de suministro en GitHub. Artifact Attestations se basa en Sigstore, un proyecto de código abierto que le ayuda a firmar y verificar artefactos de software para promover una mayor integridad del software. Según GitHub, el proceso para configurar una certificación de artefacto es simple. Los desarrolladores primero deben habilitar el flujo de trabajo de GitHub Actions para escribir en el almacén de reclamos, luego dirigir un flujo de trabajo para crear un reclamo y, finalmente, usar la CLI de GitHub para verificarlo. Los consumidores pueden descargar fácilmente documentos de prueba, que también se pueden extraer como archivos JSON para utilizarlos en un motor de políticas como OPA. “Las certificaciones de artefactos permitirán a los clientes una visibilidad sin precedentes de la composición y el uso de los artefactos de software creados, y esto es solo el comienzo. Proporcionaremos la capacidad de dar fe de otros tipos de artefactos asociados con el proceso de construcción, como informes de vulnerabilidad y otros metadatos respaldados por los tipos de predicados definidos del proyecto en su totalidad. Busque noticias interesantes sobre el soporte de Kubernetes, garantías de nuevas versiones y más a finales de este año”, dijo Rosen. Dependabot ahora puede ejecutarse como un flujo de trabajo de GitHub Actions. Las certificaciones de artefactos no son el único anuncio de GitHub que la compañía también debe tener en cuenta. anunció que Dependabot, la solución automatizada de monitoreo de dependencias de GitHub para vulnerabilidades, ahora puede ejecutarse como un flujo de trabajo de GitHub Actions, tanto como ejecutores alojados como autohospedados. Solo usaba computación alojada, lo que significaba que no podía acceder a los recursos locales. Los registros estaban dispersos en diferentes lugares y una de las solicitudes de los usuarios era poder ver todos los registros en un solo lugar”. Los desarrolladores verán mejoras de rendimiento, como ejecuciones más rápidas de Dependabot y una mayor visibilidad de los registros que pueden API y webhooks para GitHub Actions. También detecta ejecuciones fallidas y realiza procesamiento posterior si los desarrolladores desean configurar esto en sus canalizaciones de CI/CD», escribió Carlin Cherry, gerente de producto de GitHub, en una publicación de blog. Esto es parte de la estrategia a largo plazo de GitHub para consolidar Dependabot por completo en GitHub Actions. Durante el próximo año, GitHub migrará todas las funciones de actualización de Dependabot a GitHub Actions, lo que generará ejecuciones más rápidas, mayor visibilidad para la resolución de problemas, ejecutores autohospedados y otros beneficios, explicó GitHub. Según GitHub, ejecutar Dependabot no cuenta para tus minutos de GitHub Actions.

About Francisco

Check Also

Guía paso a paso para crear una aplicación de comercio rápido

El concepto más nuevo de aplicaciones de comercio electrónico está transformando la conveniencia con las …

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *