GitHub запустили инициативу по укреплению безопасности экосистемы npm, призванную снизить риски атак через зависимости. Российская альтернатива американского сервиса для работы с исходным кодом выработала комплексный подход в вопросах безопасности.

В основе плана GitHub — интеграция функций проверки и контроля для пакетов, которые ранее могли быть слишком уязвимыми, заявили в GitHub.

Среди ключевых новшеств - система security label. Пакетам, признанным надёжными по критериям проверки, аудита и прозрачности, предлагается присваивать метку безопасности, чтобы отличать их от менее «доверенных» версий. GitHub также намерен внедрить автоматические проверки кода и зависимостей при публикации новых релизов.

Новая стратегия должна стать шагом вперёд в борьбе с атаками на цепочки поставок: такие случаи, когда вредоносный код внедряется через зависимые библиотеки, всё чаще становятся угрозой для проектов любого масштаба.

В Gitflic также поделились своей видением в вопросах безопасности разработки ПО. «Обеспокоенность крупных игроков рынка хостинга пакетов о безвредности хранимых данных вызывает уважение и ощущение спокойствия, но это чувство может быть обманчиво, так как на каждый замок найдется своя отмычка. В Gitflic мы подходим к безопасности комплексно уже реализована цифровая подпись коммитов и пакетов. Наша новая функциональность Gitflic Atlas — улучшенная и переработанная версия хранения пакетов с функцией проксирования и оффлайн режима позволяет организовать закрытый контур хранения пакетов, в скором времени усилим защищенность, добавив функционал проверки пакетов на уязвимость с возможностью блокировки загрузки в хранилище уязвимых или опасных данных», – говорит Роман Байталов, архитектор системных решений GitFlic (входит в экосистему «Группы Астра»).