GitHub lanza programa de analisis de codigo para rastrear vulnerabilidades

GitHub está haciendo que una de sus herramientas más importantes sea más útil con una actualización importante.

Una publicación de blog de la empresa explica que GitHub ha estado trabajando entre bastidores para mejorar Dependabot, un servicio de alertas automatizado que señala posibles vulnerabilidades en el código.

Si bien esto puede sonar genial en teoría, y probablemente ahorró muchos dolores de cabeza más adelante en la línea de codificación, en la práctica, el bot puede ser bastante ruidoso, de lo que los desarrolladores de GitHub se han estado quejando durante algún tiempo.

Un cambio de tacto

La última actualización de GitHub cambia la política de Dependabot, indicando si el código llama a rutas de código vulnerables, lo que debería ayudar a aumentar la relación señal-ruido.

Desde su adquisición por parte de Github en 2019, casi tres millones de desarrolladores han utilizado Dependabot, lo que es un testimonio de la utilidad de las herramientas automatizadas para la laboriosa tarea de codificar aplicaciones y servicios.

Como señala GitHub, el servicio actualmente mantiene datos sobre paquetes vulnerables en una base de datos de asesoramiento centralizada. En el futuro, GitHub incluirá datos sobre las funciones afectadas para cada biblioteca de origen, con tecnología de Stack Graphs.

Y eso no es todo. GitHub también planea implementar cambios adicionales en los próximos meses para mejorar las alertas de Dependabot, incluidas las dependencias de desarrollo de informes y las rutas de dependencia transitivas.

Microsoft al rescate

Microsoft adquirió GitHub en 2018 por 7500 millones de dólares, lo que consolidó su posición como uno de los principales proveedores de servicios para cualquiera que use una computadora. Hubo muchos temores iniciales de que Microsoft arruinaría el servicio, que los desarrolladores adoran.

Pero esos temores se han disipado en su mayoría, aparte de algunos contratiempos en el camino, incluida la introducción de un feed algorítmico.

El servicio sigue siendo extremadamente popular para todos en todas las etapas del proceso de codificación.

Share This