GitHub Security Bug Bounty Program paga até US$30k para quem descobrir bugs em códigos
Mercado de TI

GitHub anuncia novos recursos para segurança do desenvolvedor. Confira

Neste espírito, o GitHub construiu os Entitlements, que usam um repositório Git para a source-of-truth

4 Minutos de Leitura

GitHub acredita firmemente no uso da plataforma para construir o próprio GitHub. Isso, mantendo a experiência do desenvolvedor simplificada e integrando a plataforma diretamente nos workflows.

A equipe acompanha o trabalho no Issues, planeja projetos e automatiza lembretes através do GitHub Actions e ChatOps.

Por isso, é natural que o GitHub busque o GitOps para resolver um dos problemas mais complexos em segurança em TI: o Gerenciamento de Identidade e Acesso (IAM). A plataforma queria uma solução que funcionasse com suas ferramentas, que fosse auditável, escalável e bem compreendida pelos desenvolvedores.

Neste espírito, o GitHub construiu os Entitlements, que usam um repositório Git para a source-of-truth, autorizações declarativas e integração perfeita com GitHub.com para aprovações e auditorias. Após anos de desenvolvimento e inúmeras contribuições de funcionários do GitHub, a plataforma vai finalmente abrir o código dos Entitlements.

Como criar códigos mais seguros no GitHub? Confira 5 dicas

Auditorias

As solicitações e aprovações de acesso são normalmente difíceis de rastrear e auditar. Sem um sistema escalável em funcionamento, desenvolvedores podem encontrar-se concedendo ou solicitando acesso que requer ações manuais de cliques.

Isto dificulta o rastreamento e a comprovação dos controles de auditoria. Por exemplo, verificar a aprovação apropriada e assegurar a revogação do acesso no término ou mudança de funções.

Os Entitlements alavancam o GitHub.com, armazenando sua configuração em um repositório e fluindo todas as mudanças nessas configurações através de pull requests, de modo que haja uma trilha de auditoria durável da solicitação e de suas aprovações.

Os Entitlements também suportam tags de metadados dentro das suas configurações, o que permite digitalizar essas configurações e gerar pull requests para auditar e reaprovar periodicamente. Isto suporta auditoria aprimorada para as configurações de alto risco.

Com as expirações dentro das configurações do Entitlements é possível conceder acesso aos sistemas por um período exato de tempo com a garantia de que o acesso será apropriadamente revogado após esse período de tempo.

Reorganizações

É natural que organizações grandes e pequenas reorganizem as estruturas de equipes para se adaptarem às mudanças nas demandas do negócio. Quando as reorganizações acontecem, é comum que o acesso se acumule, deixando as pessoas com acesso tanto de seu antigo papel quanto de seu novo papel. Os Entitlements podem ajudar a evitar isso.

O GitHub periodicamente tira uma lista de seus funcionários de sua source-of-truth interna e a transmite a vários grupos. A empresa cria grupos automáticos por gerente, por região, por nível e por função no negócio. Referenciando esses grupos automáticos sempre que possível, é possível garantir que o acesso seja adicionado e revogado apropriadamente quando as necessidades do negócio ou organizações mudarem.

Escalabilidade

Uma equipe que administra os pedidos do IAM para uma grande empresa pode rapidamente ficar sobrecarregada com a escala. Essa equipe também precisa de acesso administrativo em cada ferramenta e serviço da empresa a fim de atender a essas solicitações de acesso.

No GitHub, os Entitlements gerenciam o acesso a mais de 500 serviços internos, centenas de organizações e milhares de equipes no GitHub.com. Os Entitlements atuam como um verdadeiro multiplicador de forças, permitindo que uma equipe relativamente pequena gerencie o IAM em larga escala.

Autogerenciamento

Uma vez que as configurações dos Entitlements são armazenadas no GitHub.com, as mudanças são autogeridas e não são bloqueadas por nenhuma equipe específica. Qualquer pessoa pode fazer um pull request e adicionar-se a uma configuração do Entitlements, obter as aprovações apropriadas e implantar seu próprio pull request. Trata-se de um auto-atendimento completo de ponta a ponta para solicitações do IAM.

Atualizações automáticas a partir de dados do negócio

É possível escrever um simples cron job que verifica uma fonte de dados do negócio para atualizações e leva essas atualizações para o organograma dos Entitlements. Os Entitlements reorganizarão a afiliação do grupo com base nestes novos dados e tratarão automaticamente de desprover o acesso antigo e prover o novo acesso para cada nova função.

GitHub anuncia Achievements: reconhecendo as etapas da jornada de programação de um desenvolvedor. Disponível em versão beta pública hoje, o GitHub anuncia o Achievements como uma nova forma de comemorar os marcos na plataforma.

Cerca de 5.000 contribuições públicas foram feitas a cada minuto no ano passado no GitHub. Fazer o merge de pull requests, responder discussões, abrir edições – é um feito e tanto construir e manter todos os projetos e comunidades que vivem no GitHub.

Como parte da missão do GitHub, queremos celebrar os desenvolvedores e seus projetos, ao mesmo tempo em que mostramos o impacto que o software tem sobre as grandes inovações de hoje e do futuro.

Até hoje, encontramos maneiras de reconhecer os desenvolvedores cujos projetos ajudaram a NASA a realizar o primeiro voo motorizado em Marte, aqueles cujo código foi arquivado para os próximos 1.000 anos no Cofre de Código do Ártico, e aqueles que patrocinam os projetos com os quais se preocupam.

Quais achievements existem por aí?

Há um pouco de capricho, surpresa e prazer que esperamos que as pessoas desenvolvedoras sintam ao descobrir as conquistas em seu próprio perfil, assim como no perfil de seus colegas colaboradores e mantenedores. Eles serão capazes de inferir os critérios para desbloquear certas conquistas, vendo as conquistas de outra pessoa.


Receba as Vagas TI e Notícias de Tecnologia em seu Celular

Siga o Programadores Brasil no Google Notícias (CLIQUE AQUI) para receber Vagas de Ti e Notícias de Tecnologia em seu Celular.


Sobre o Autor(a)
Jornalista, sonhadora e apaixonada por contar história de pessoas para pessoas. Além de ser extremamente curiosa, meu entretenimento é adquirir conhecimento. Atualmente sou graduada em jornalismo com inglês avançado e muitos sonhos, além de atuar, em tempo integral, em um plano infalível de me aperfeiçoar e crescer cada vez mais :)

Deixe o seu comentário

O seu endereço de e-mail não será publicado.

Leia Também

Últimas Notícias