GitHub trae su conjunto de características de seguridad de la cadena de suministro a Go

Go está recibiendo un impulso de GitHub con la compañía que lleva sus características de seguridad de la cadena de suministro al lenguaje diseñado por Google.

Según GitHut, Go es actualmente el cuarto idioma más popular en GitHub. La comunidad de Go adoptó GitHub y ahora la compañía les devuelve el favor ayudándoles a descubrir, informar y prevenir vulnerabilidades de seguridad.

Steve Francia, líder de producto de Go Language en Google, dijo:

“Go se creó, en parte, para abordar el problema de la gestión de dependencias en software a gran escala. GitHub es el host más popular para módulos Go de código abierto. Las características anunciadas hoy ayudarán no solo a los usuarios de GitHub, sino a cualquier persona que dependa de los módulos alojados en GitHub. Estamos encantados de que GitHub esté invirtiendo en mejoras que beneficien a todo el ecosistema de Go, y esperamos tener más colaboraciones con ellos en el futuro ".

Hasta ahora, GitHub ha publicado más de 150 avisos de seguridad de Go, un número que crece cada día. Los encargados del mantenimiento del módulo Go pueden utilizar estos avisos para la divulgación coordinada de vulnerabilidades.

Además de los avisos de seguridad, los desarrolladores pueden recibir alertas sobre dependencias vulnerables a través del gráfico de dependencias de GitHub. Para ver las dependencias detectadas de un repositorio, seleccione el repositorio Perspectivas pestaña, luego seleccione Gráfico de dependencia desde la barra lateral de la izquierda.

El gráfico de dependencia está activado de forma predeterminada para repositorios públicos, pero debe habilitarse manualmente para los repositorios privados.

Las alertas de Dependabot notificarán a los desarrolladores si se descubre una vulnerabilidad en los módulos de Go que estén usando. Si se detecta una dependencia vulnerable, las actualizaciones de seguridad de Dependabot pueden proporcionar una solicitud de extracción que actualiza automáticamente los módulos Go vulnerables a una versión sin el problema.

GitHub afirma que ha descubierto que los repositorios que generan automáticamente solicitudes de extracción para actualizar dependencias vulnerables parchean su software un 40 por ciento más rápido.

La decisión de GitHub de llevar sus funciones de seguridad de la cadena de suministro a Go seguramente será bien recibida por la comunidad y debería ayudar a proteger el software desarrollado con el lenguaje.

(Crédito de la imagen: GitHub)

¿Quiere aprender sobre DevOps de parte de los líderes en el espacio? Revisar la Cumbre de DevOps como servicio, que tendrá lugar el 1 de febrero de 2022, donde los asistentes conocerán los beneficios de crear colaboración y asociaciones en la entrega.
Etiquetas: desarrollo, destacado, github, go, go language, google, idioma, lenguaje de programación, seguridad, vulnerabilidades