GitHub Güncellemeleri: Özel Güvenlik Açığı Raporları ve Şube Kuralları
GitHub, Git barındırma ve npm paket kayıt defterine üç yeni özellik ekledi. Yeniliklerin merkezinde güvenlik ve konfor yer alır.
İlk yenilik, npm kayıt defteri ile ilgilidir. Çözülmesi gereken sorun, bir npm paketinin ilgili kodu içeren bir havuza yalnızca çok gevşek bir şekilde bağlı olmasıdır. Paket oluşturmak ve bunları npm’ye taşımak, bir CI/CD ortamı aracılığıyla otomatik olarak yapılabilir, ancak paketleri manuel olarak da yayınlayabilirsiniz; bu, kimlik bilgilerini ele geçiren saldırganlar için kolay bir giriş noktasıdır. Paket kullanıcıları için bir güven sorunu ortaya çıkar: Bir paketin genel bir depoda görebildikleri koda dayalı olduğuna inanmaları yeterlidir.
GitHub, Sigstore projesindeki araç kutusunu kullanır
“npm Paket Kaynağı” özelliği daha fazla güven oluşturmalıdır. Şimdiye kadar, bu yalnızca paket satıcıları GitHub’ın tam paketini kullanıyorsa ve kodu kendi havuzlarından GitHub CI/CD’den derleyip npm’ye göndermişlerse çalışır. Açık kaynak projelerinden genel paketler için ücretsizdir. Duyuruya eşlik eden blog gönderisinde GitHub, gelecekte diğer CI/CD satıcılarıyla işbirliği yapma sözü veriyor.
Kodun kaynağını belgeleyen, Yazılım Eserleri için Tedarik Zinciri Düzeyleri (SLSA) biçiminde bir belge oluşturulur. Bu belge, Sigstore projesindeki GitHub araç seti kullanılarak imzalanmıştır. npm web arabirimi bu imzayı yeşil bir onay işaretiyle görüntüler. Bir paket kullanıcısı olarak, bir paket sürümünün hangi taahhüdü temel aldığını doğrudan görebilirsiniz. 9.5.0 sürümünden itibaren, npm CLI’nin şu komutu desteklediği söyleniyor: npm audit signatures imzaları değerlendirmek için usta.
Özel güvenlik açığı raporları
Açık kaynak projelerinin güvenliğini artırmayı amaçlayan bir özelliğin beta sürümünden çıkılıyor. “Özel Güvenlik Açığı Raporları” kullanıma sunulmadan önce, bulunan güvenlik açıklarını proje yöneticilerine bildirmek her zaman kolay değildi. Kamuya açık bir mesele uygun görülmedi. Bu sorun, bakıcıların posta adreslerini herkese açık hale getirmek zorunda kalmadan çalışan özel mesajlarla çözülür. Sorunlar Github web arayüzü aracılığıyla bildirilebilir.
Beta sürümünün sona ermesiyle GitHub, test aşamasından gelen geri bildirimleri de uyguladı. Yeni olan, özelliği bir kuruluştaki tüm depolar için tek tıklamayla etkinleştirebilmenizdir.
Şube koruma kuralları yerine kural seti
GitHub, beta aşamasına yeni başlayan bir özellikle rahatlığı artırıyor. GitHub, daha büyük kuruluşların kullanıcılarının yoğun talebi üzerine şube koruma kurallarını gözden geçiriyor ve kural kümelerinin haleflerini adlandırıyor. Şube koruma kurallarında, kimin hangi şubelerde hangi eylemleri gerçekleştirmesine izin verildiğini çok basit bir şekilde kontrol edebilirsiniz. Yeni kural kümeleri, daha esnek izin denetimleri sağlar ve çok sayıda havuza sahip kuruluşların bunları merkezi bir konumda tanımlamasını kolaylaştırır.
GitHub kullanıcılarının yeni kural kümelerini denemek için bir beta sürümüne kaydolmaları gerekmez. Yeni Kural Kümeleri menü öğesi, havuz ayarlarında görünür ve yeşil bir beta simgesiyle işaretlenir.
(yum)
Haberin Sonu