Llegamos a ustedes gracias a:



Noticias

GitHub añade herramientas de seguridad para el lenguaje Rust

[09/06/2022] Con el objetivo de ayudar a los desarrolladores de Rust a descubrir y prevenir las vulnerabilidades de seguridad, GitHub ha puesto a disposición su conjunto de características de seguridad de la cadena de suministro para el lenguaje Rust de rápido crecimiento.

Estas funciones incluyen la base de datos de avisos de GitHub, que ya cuenta con más de 400 avisos de seguridad de Rust, así como alertas y actualizaciones de Dependabot, y soporte de gráficos de dependencia, que proporcionan alertas sobre dependencias vulnerables en los archivos de paquetes Cargo de Rust. Los usuarios de Rust pueden informar y, en última instancia, prevenir las vulnerabilidades de seguridad al utilizar GitHub.

La base de datos de avisos de GitHub es una base de datos de avisos de seguridad centrada en la información sobre vulnerabilidades procesable para los desarrolladores. La mayoría de las vulnerabilidades citadas en la base de datos provienen de RustSec, una organización que publica avisos de seguridad relacionados con las bibliotecas de Rust. Los encargados de mantener los paquetes de Rust pueden utilizar los avisos de seguridad para colaborar con los informadores de vulnerabilidades para discutir y corregir en privado las vulnerabilidades antes de anunciarlas públicamente. Los desarrolladores pueden informar de las vulnerabilidades de Rust con un CVE a través de una contribución de la comunidad.

El gráfico de dependencias de GitHub analiza los archivos Cargo.toml y Cargo.lock de un repositorio para determinar las dependencias de un proyecto. El gráfico de dependencias respalda a Dependabot, que alerta a los desarrolladores de una vulnerabilidad conocida y crea pull requests para actualizar la dependencia afectada. Aunque el gráfico de dependencias está activado por defecto en los repositorios públicos, los desarrolladores deben activarlo para los repositorios privados.

Si el gráfico de dependencias de un repositorio público aún no se ha rellenado, lo hará pronto, según GitHub. El soporte de gráficos de dependencia para Rust se está implementando en dos fases. Los metadatos completos de los paquetes para las dependencias de Rust, incluida la asignación de paquetes a los repositorios de GitHub, estarán disponibles en una futura versión.

Los desarrolladores pueden evitar que se introduzcan vulnerabilidades en Rust con la acción de revisión de dependencias de GitHub, que escanea las solicitudes de extracción en busca de cambios en las dependencias de Rust e identifica si alguna de las nuevas tiene vulnerabilidades conocidas. Los desarrolladores pueden entonces bloquear su incorporación al código. GitHub ofrece orientación para asegurar los repositorios de Rust en GitHub Docs.

Primer Contacto

Más »

Casos de éxito

Más »