Nå skal GitHubs Dependabot gjør det enklere å oppdage sårbar kode

GitHub vil varsle deg om koden din kaller sårbare kodestier, melder selskapet.

GitHub vil nå finne ut om et repo direkte kaller en sårbar funksjon. 📸: Ole Petter Baugerød Stokke
GitHub vil nå finne ut om et repo direkte kaller en sårbar funksjon. 📸: Ole Petter Baugerød Stokke Vis mer

- Dependabot-varsler vil nå dukke opp om koden din kaller sårbare kodestier, slik at du kan prioritere og utbedre varsler mer effektivt, melder GitHub i et ferskt blogginnlegg.

Ifølge selskapet vil Dependabot-varsler nå bruke GitHubs "presise kodenavigasjons-motor" for å finne ut om et repo direkte kaller en sårbar funksjon.

GitHub legger til at denne informasjonen deretter vil vises til utviklere via UI-en for Dependabot-varsler.

Utfører en statistisk analyse

I dag kuraterer GitHub informasjon om sårbare pakker i GitHubs Advisory Database. Fremover vil GitHub samle informasjon om berørte funksjoner for hvert kildebibliotek.

- Ved å utnytte GitHubs semantiske kodegraf, utfører vi statisk analyse med disse funksjonene for å generere en berørt anropsgraf for repoet ditt, som vises i et Dependabot-varsel, skriver GitHub.

Ifølge dem er denne implementeringen drevet av Stack Graphs, som er det samme rammeverket bak Precise Code Navigation.

- Dette gir en opplevelse uten konfigurasjon som fungerer for alle råd med annoterte sårbare funksjoner.

Dersom repoet ditt kaller en sårbar funksjon vil dette vises via UI-en for Dependabot-varsler. 📸: GitHub
Dersom repoet ditt kaller en sårbar funksjon vil dette vises via UI-en for Dependabot-varsler. 📸: GitHub Vis mer

Støtter bare Python

Betaen støtter kun Python-kode. Per dags dato har GitHub informasjon om sårbare funksjoner for 79 Python-advisories fra Pip - systemet til Python for å laste ned biblioteker.

Selskapet skriver at de vil fortsette å fylle ut data om for Python-advisories i løpet av betaen - i tillegg til å støtte eventuelle nye.

- Vi planlegger også å gjøre det mulig for alle å se berørte funksjoner i GitHubs rådgivende database, samt foreslå sårbare funksjoner via bidrag fra felleskapet i nær fremtid, skriver GitHub.

Ifølge selskapet er funksjonen aktivert for støttede Dependabot-varsler på offentlige repoer, så vel som på repoer der GitHub Advanced Security er aktivert.

Vil forbedre løsningen etterhvert

GitHub varsler at de i løpet av de neste månedene vil fortsette å forbedre Dependabot-varslene med nye funksjoner som hjelper utviklere å forstå hvordan du blir påvirket av en sårbarhet.

- Gjennom denne betaen for berørt kodedeteksjon i Dependabot-varsler, vil vi fortsette å legge til støtte for flere historiske Python-råd fra pip-økosystemet.

Etter betatesting med Python vil GitHub legge til støtte for andre økosystemer, skriver selskapet.