0
0
O GitHub anunciou que suas ferramentas de teste de segurança de aplicativos agora estão mais amplamente disponíveis para assinantes dos Serviços de DevOps do Azure da Microsoft.
Habilitando a segurança avançada do GitHub para Azure DevOps (Fonte: Microsoft)
O que é o GitHub Advanced Security para Azure DevOps?
O GitHub Advanced Security for Azure DevOps é um conjunto de ferramentas nativas da plataforma e, como a oferta de Segurança Avançada do GitHub, engloba ferramentas para:
- Detectando e prevenindo a exposição de segredos no processo de desenvolvimento de aplicativos dos usuários (“Varredura secreta”)
- Identificando vulnerabilidades em pacotes de software livre usados no Azure Repos (“Verificação de dependência”)
- Detectando vulnerabilidades de código estático (“Verificação de código”)
Varredura secreta
A varredura secreta inclui varredura de repositório e proteção por push.
“O GitHub Advanced Security for Azure DevOps pode não apenas ajudá-lo a encontrar segredos que já foram expostos no Azure Repos, mas também ajudá-lo a evitar novas exposições, bloqueando quaisquer envios por push para Repositórios do Azure que contenham segredos”, diz Aaron Hallberg, Diretor de Produto para DevOps do Azure, Microsoft.
“Se você bloquear a exposição secreta em tempo de envio, antes que ela seja persistente no Azure Repos, é um trabalho de cinco minutos para limpar sua confirmação e repush.”
Varredura de dependências
A ferramenta identifica os pacotes de código aberto usados no Azure Repos e as vulnerabilidades neles e aconselha os usuários sobre como atualizar esses pacotes para mitigar vulnerabilidades.
As informações nas quais a orientação se baseia são extraídas do Banco de Dados Consultivo do GitHub.
Digitalização de código
A ferramenta de digitalização de código é alimentada pelo CodeQL, um mecanismo de análise semântica de código que pode detectar vulnerabilidades de segurança em código escrito em muitas linguagens de programação diferentes: C#, C/C++, Python, JavaScript/TypeScript, Java, Kotlin, Go, etc.
Os desenvolvedores agora podem executar verificações do CodeQL diretamente do Azure Pipelines no código do Azure Repos e agir sobre os resultados no ambiente do Azure DevOps.
“Os problemas detectados em cada uma dessas categorias são apresentados em uma experiência de Segurança Avançada com escopo de repositório usando a linguagem de design do Azure DevOps”, observou Hallberg.
Disponibilidade e preço
O GitHub Advanced Security for Azure DevOps está em visualização privada desde novembro de 2022 e agora está em visualização pública (os usuários precisam se inscrever nele).
Ele custa US$ 49 por committer ativo por mês, e a cobrança é feita por meio do Azure.
FONTE: HELPNET SECURITY