Os aplicativos móveis se tornaram uma parte crucial do cotidiano humano, influenciando a maneira como trabalhamos, nos comunicamos e nos divertimos. Sua conveniência, facilidade de uso e capacidade de fornecer acesso a uma ampla gama de serviços e informações é notável. Para facilitar o acesso ao código pelos desenvolvedores, independentemente de sua localização, o GitHub criou o GitHub Mobile para oferecer novas maneiras de gerenciar projetos, proteger o código e se conectar com comunidades em diferentes partes do mundo.
Dessa forma, o GitHub anuncia hoje dois lançamentos destinados ao fornecimento de novas maneiras de proteção de apps criados na plataforma. O primeiro é a versão beta para suporte de escaneamento de códigos para Swift, que permitirá escanear repositórios dessa linguagem em busca de possíveis vulnerabilidades. O segundo anúncio é o suporte futuro para alertas de segurança também para Swift, permitindo que o Dependabot alerte sobre dependências vulneráveis no gráfico de dependência.
De acordo com um relatório da plataforma Statista, apenas em 2022 o número mundial de download de apps foi de 255 bilhões. Por essa razão, a segurança dos dados precisa ser uma prioridade. Para Walker Chabbott, Gerente de Marketing de Produto do GitHub, e Pierre Tempel, Gerente de Produto de Equipe, “nunca foi tão essencial garantir que aplicativos móveis sejam seguros e que os dados das pessoas que os utilizam permaneçam privados”.
Suporte para linguagens mobile no escaneamento de código
Em novembro do ano passado, o GitHub lançou a versão beta do suporte para Kotlin para escaneamento de código. Desde então, pessoas desenvolvedoras corrigiram mais de 6.000 alertas Kotlin na plataforma. “Ter suporte para Kotlin e Swift é crucial para o CodeQL, que é o mecanismo que alimenta o escaneamento de código do GitHub, devido à crescente popularidade e adoção dessas linguagens de programação, que são amplamente utilizadas no desenvolvimento de aplicativos para plataformas Android e iOS”, afirmam Walker Chabbott e Pierre Tempel.
Ao oferecer suporte para Kotlin e Swift, o escaneamento de código pode analisar e detectar vulnerabilidades de segurança e possíveis ameaças com eficiência para essas linguagens.
Para Swift, isso inclui a identificação de problemas como injections em path, buscas inseguras de visualização da Web, usos indevidos de criptografia e outros tipos de avaliação ou processamento inseguro de dados do usuário. Garantindo que profissionais identifiquem e resolvam proativamente os problemas de segurança durante o processo de desenvolvimento, com alertas amigáveis às pessoas desenvolvedoras, aprimorando a postura geral de segurança de seus aplicativos. Durante o beta público, o GitHub pretende aumentar gradualmente a cobertura de diferentes pontos fracos.
Agora, Swift também pertence à lista de linguagens suportadas existentes (C/C++, Java/Kotlin, JS/TS, Python, Ruby, C# e Go), o que significa que é possível executar quase 400 verificações em códigos, mantendo as taxas de falsos positivos baixas e a precisão mais alta.
Olhando em frente
Já em relação à segurança da cadeia de suprimentos, o GitHub também adicionou o Swift como um ecossistema de pacotes suportados, com avisos de segurança suportados e selecionados no GitHub Advisory Database, além de dependências do Swift no gráfico de dependências para o final de junho. Isso significa que o Dependabot logo fará alertas sobre dependências vulneráveis para projetos em Swift e abrirá pull requests com a correção sugerida.
Bug Bounty para Swift e Kotlin
Com suporte em beta público para escaneamento de código em Swift e Kotlin, o GitHub Security Lab abriu o programa Bug Bounty para pessoas pesquisadoras de segurança de software enviarem consultas CodeQL para testar projetos open source escritos nessas linguagens.
O programa CodeQL Bug Bounty do GitHub Security Lab visa dimensionar o trabalho da comunidade de pesquisa de segurança em projetos open source, e oferece oportunidades para que escrevam uma consulta CodeQL, não apenas para encontrar bugs existentes em escala, mas também para dar suporte às pessoas desenvolvedoras na prevenção de futuros bugs.
Para apoiar o teste beta dessas linguagens mobile, o GitHub Security Lab fornecerá um bônus específico para envios de consulta CodeQL para Swift e Kotlin a partir de hoje até 1º de dezembro de 2023. Os primeiros 10 envios com pontuação High ou Critical receberão uma recompensa adicional de até US$ 2 mil. Pessoas interessadas podem ler mais sobre esse bônus específico no FAQ da bounty page.
Mais sobre as soluções de segurança do GitHub
O GitHub está comprometido em ajudar a criar softwares mais seguros e protegidos sem comprometer a experiência de desenvolvimento. Para saber mais ou habilitar os recursos de segurança do GitHub em repositórios, os interessados podem conferir o guia de introdução.
*Fonte: GitHub