O portal de desenvolvimento GitHub quer reforçar a segurança dos 70 milhões de projetos hospedados em sua plataforma e passará a emitir alertas para desenvolvedores sobre vulnerabilidades em arquivos de dependências.
A meta é comunicar os autores de de todos os projetos que utilizam uma determinada biblioteca quando falhas de segurança forem detectadas, para que eles possam atualizar ou corrigir seus próprios trabalhos.
Os alertas serão embutidos no chamado gráfico de dependências que já existe no GitHub, mas também poderão ser disparados por email ou notificações no navegador. Todos os projetos públicos que utilizem a dependência afetada serão identificados e avisados automaticamente, mas desenvolvedores que possuam projetos privados precisão optar pelo serviço. Por enquanto, apenas bibliotecas em JavaScript e Ruby serão contempladas com a funcionalidade.
Desta forma, desenvolvedores que dependam de bibliotecas de terceiros poderão ser avisados quando houver uma brecha de segurança nessas bibliotecas e atualizar seus projetos com uma versão mais segura ou mesmo remover a dependência. O GitHub se compromete a não divulgar vulnerabilidades que não tenham sido abertas para o público, para não expor a comunidade ou os usuários dos programas a riscos maiores de atacantes oportunistas.
