Fare sul serio con la sicurezza: ecco come i BOT di GitHub segnalano le anomalie agli sviluppatori

In merito alla feature di scansione di sicurezza del codice introdotta da GitHub avevamo speso un articolo poco tempo fa, ma non pensavamo di doverne riparlare dopo così poco tempo. Il fatto è che, dopo aver toccato con mano cosa si tratta, ne vale proprio la pena.

Tutto è cominciato con una mail ricevuta contenente questo oggetto:

[mmul-it/ansible] Bump cryptography from 2.9.2 to 3.2 (#5)

Di primo acchito ho subito pensato ad un contributore volenteroso che ci segnalava come nel repository GitHub di MMUL (https://github.com/mmul-it/ansible) ci fosse la necessità di modificare il requirement Python cryptography, necessario per il funzionamento del playbook Terraform che produce codice per ambienti Azure.

La mail infatti era una pull request, una richiesta cioè di integrazione di modifica, pronta per essere inclusa mediante merge nel branch master.

Tutto lecito e legittimo, soprattutto utile. Guardando bene però, dietro alla segnalazione non vi era una persona fisica, bensì dependabot[bot] notifications@github.com ed osservando bene la mail la prima riga recitava:

This automated pull request fixes a security vulnerability (moderate severity).

Quindi, un BOT, che in maniera totalmente automatica ha segnalato un’anomalia nel codice che noi, in tutta sincerità, non avevamo rilevato.

Mica male eh? Ma non finisce qui. In questo video, che parte esattamente dalla sua dimostrazione pratica (ma che vale la pena vedere nella sua interezza), due brillanti sviluppatrici GitHub spiegano il funzionamento della rilevazione automatica dei secret esposti nel codice:

La situazione descritta è simile a quella raccontata all’inizio dell’articolo, l’anomalia viene rilevata e notificata (nel caso sotto forma di pull request) ai maintainer del progetto i quali, a loro discrezione, possono scegliere anche di non includerla.

La cosa interessante è che comunque questa andrà analizzata e quindi capita. Considerata la gratuità del servizio proposto, si tratta oggettivamente di un bel passo avanti per la qualità generale del codice prodotto dagli sviluppatori.

Che sia una compensazione indiretta per tutti gli obbrobri che verranno partoriti mediante GitHub Mobile? Il tempo lo dirà. Nel frattempo, raccontateci, è successo anche a voi di ricevere notifiche di sicurezza? Cosa ne pensate di questa funzionalità?

Da sempre appassionato del mondo open-source e di Linux nel 2009 ho fondato il portale Mia Mamma Usa Linux! per condividere articoli, notizie ed in generale tutto quello che riguarda il mondo del pinguino, con particolare attenzione alle tematiche di interoperabilità, HA e cloud.
E, sì, mia mamma usa Linux dal 2009.

Tags: , , ,