GitHub, Rust dili için tedarik zinciri güvenlik araçları ekler


Rust geliştiricilerinin güvenlik açıklarını keşfetmesine ve önlemesine yardımcı olmayı amaçlayan GitHub, tedarik zinciri güvenlik özellikleri paketini hızla büyüyen Rust dili için kullanılabilir hale getirdi.

Bu özellikler, halihazırda 400’den fazla Rust güvenlik önerisine sahip olan GitHub Danışmanlık Veritabanının yanı sıra Dependabot uyarıları ve güncellemeleri ile Rust’ın Kargo paketi dosyalarındaki savunmasız bağımlılıklar hakkında uyarılar sağlayan bağımlılık grafiği desteğini içerir. Rust kullanıcıları, GitHub’ı kullanırken güvenlik açıklarını bildirebilir ve nihayetinde önleyebilir.

GitHub Danışma Veritabanı, geliştiriciler için eyleme dönüştürülebilir güvenlik açığı bilgilerine odaklanan bir güvenlik önerileri veritabanıdır. Veritabanında belirtilen güvenlik açıklarının çoğu, Rust kitaplıklarıyla ilgili güvenlik önerileri yayınlayan bir kuruluş olan RustSec’ten gelmektedir. Rust paketi bakımcıları, güvenlik açıklarını herkese açık olarak duyurmadan önce özel olarak tartışmak ve düzeltmek için güvenlik açığı rapor edenlerle işbirliği yapmak için güvenlik önerilerini kullanabilir. Geliştiriciler, bir CVE aracılığıyla Rust güvenlik açıklarını bildirebilir. topluluk katkısı.

GitHub’ın bağımlılık grafiği, bir projedeki bağımlılıkları belirlemek için bir havuzun Cargo.toml ve Cargo.lock dosyalarını analiz eder. Bağımlılık grafiği, geliştiricileri bilinen bir güvenlik açığı konusunda uyaran ve etkilenen bağımlılığı güncellemek için çekme istekleri oluşturan Dependabot’u destekler. Bağımlılık grafiği, genel havuzlarda varsayılan olarak etkinleştirilirken, geliştiricilerin bunu özel havuzlar için etkinleştirmesi gerekir.

GitHub, halka açık bir depo için bir bağımlılık grafiği henüz doldurulmamışsa, yakında olacağını söyledi. Rust için bağımlılık grafiği desteği iki aşamada kullanıma sunuluyor. Paketlerin GitHub depolarına eşlenmesi de dahil olmak üzere, Rust bağımlılıkları için tam paket meta verileri, gelecekteki bir sürümde sunulacaktır.

Geliştiriciler, Rust güvenlik açıklarının ortaya çıkmasını engelleyebilir. bağımlılık incelemesi GitHub EylemiRust bağımlılıklarındaki değişiklikler için çekme isteklerini tarayan ve yenilerinin bilinen güvenlik açıkları olup olmadığını belirleyen . Geliştiriciler daha sonra bunların kodla birleştirilmesini engelleyebilir. GitHub için rehberlik sunar Rust depolarının güvenliğini sağlama GitHub Docs’ta.

Telif Hakkı © 2022 IDG Communications, Inc.



Kaynak : https://www.infoworld.com/article/3662758/github-adds-supply-chain-security-tools-for-rust-language.html#tk.rss_all

Yorum yapın