Nuestro partner GitHub dispone de medidas adicionales de seguridad para clientes mediante una licencia de Advanced Security. A su vez, estas características se habilitan para los repositorios públicos en www.github.com.
A continuación, te cuento más sobre los features que ofrece este servicio:
- Code Scanning: te permite buscar posibles vulnerabilidades en un repositorio, como inyecciones SQL y errores de codificación. Code Scanning utiliza el motor CodeQL, desarrollado por GitHub, y se alimenta de una base de datos de vulnerabilidades que se actualiza cada 2 horas. También es posible utilizar otras herramientas con Code Scanning, siempre y cuando estas sean compatibles con el formato SARIF. En este enlace puedes leer más al respecto.
- Secret Scanning: se encarga de encontrar secretos en los repositorios, como llaves de acceso o contraseñas que se hayan colado dentro de este espacio; también se puede habilitar para proteger la subida de nuevos secretos a los repositorios. Secret Scanning busca formatos de muchos productos y servicios, tales como SonarQube, Attlassian, Azure, DigitalOcean, DataDog, Pulumi, Google Cloud, AWS, etc. Junto a estos patrones por defecto, también podemos configurar patrones de búsqueda personalizados. Conoce más acá.
- Análisis de dependencias: GitHub te ayuda a mantener de forma fácil y transparente las dependencias de tus proyectos. Puedes ver gráficos de uso y saber de qué librería depende tu aplicación, así como también quién nos está consumiendo. El análisis de dependencias es compatible con varios manejadores de paquetes, como npm, Pip, NuGet, Composer, Bundler, Maven y Gradle. Finalmente, podemos dividir este análisis en dos categorías:
- Dependabot version updates: recibe notificaciones sobre nuevas versiones de los paquetes de su proyecto y, además, de forma automática se crean los pull request con toda la información sobre el cambio.
- Dependabot security updates: recibe notificaciones automáticas si tu proyecto está utilizando una librería con vulnerabilidades que puedan comprometer tu negocio. Además de esto, Dependabot entrega información de la vulnerabilidad y crea un pull request con el cambio necesario para evitar la vulnerabilidad.
