GitHub mette a disposizione dei clienti funzioni extra di sicurezza sotto una licenza Advanced Security; ora arrivano due update per queste funzionalità: la security overview, in beta, e il secret scanning per i repository privati, generalmente disponibile.
Le funzionalità di sicurezza di GitHub forniscono agli sviluppatori gli strumenti per trovare e rimediare ai rischi di sicurezza delle applicazioni, ma se un team di application security o un leader dello sviluppo è responsabile di centinaia o addirittura migliaia di repository?
È qui che entra in gioco la nuova la security overview, una panoramica sulla sicurezza accessibile dal tab Security delle organizzazioni e dei team.
I clienti di GitHub Advanced Security ora hanno a disposizione un posto unico per visualizzare i rischi per la sicurezza delle applicazioni rilevati dalla scansione del codice, Dependabot e dal secret scanning. La security overview mostra sia i rischi di sicurezza noti sia dove ci sono rischi sconosciuti perché le funzioni di sicurezza non sono state configurate.
Gli amministratori possono ora visualizzare le funzionalità di sicurezza di GitHub che sono state abilitate e gli insight su ciò che hanno scoperto nella scheda Security per le organizzazioni. Per aiutare a sapere da dove iniziare, la piattaforma assegna ad ogni repository una categoria di rischio basata sul numero e sulla gravità degli avvisi attivi.
Il secret scanning per i repository privati era stato annunciato in beta nel maggio 2020. Da allora GitHub ha espanso la copertura dei pattern in modo da coprire i token di più di 35 partner, aggiunto un’API e webhook per gli alert e iniziato l’invio di notifiche agli autori di commit (così come agli amministratori) quando eseguono il commit di informazioni segrete e riservate.
Queste funzioni sono disponibili ora su GitHub Enterprise Cloud e saranno incluse in GitHub Enterprise Server 3.1. GitHub ha inoltre in programma ulteriori miglioramenti, tra cui il supporto per i pattern custom, ma ha reso noto che questa funzionalità ha già aiutato le organizzazioni a trovare e revocare oltre 5.000 segreti esposti.
Per quanto riguarda GitHub Mobile, quest’app per iOS e Android aiuta gli sviluppatori a lavorare quando sono in movimento, ovunque siano. Con l’ultima versione, GitHub ha implementato una serie di funzioni per migliorare la gestione delle notifiche e rendere possibile la visualizzazione dei rilasci in modo nativo nell’app.
L’aggiornamento fa sì che lo sviluppatore non solo riceva notifiche push quando è direttamente menzionato, ma anche quando gli è stato chiesto di rivedere una pull request, gli è stato assegnato un task, o gli è stato richiesto di approvare un deployment per un ambiente protetto. Nei setting è poi possibile regolare il flusso di notifiche, impostare l’orario di lavoro e personalizzare l’esperienza.
Inoltre, ora i rilasci possono essere visualizzati e scaricati direttamente sullo smartphone. Basta andare alla vista del repository per vedere cosa c’è di nuovo.
