GitHub apresenta suporte para Swift e Segurança mais ampla para aplicativos móveis

Os aplicativos móveis se tornaram uma parte fundamental da vida cotidiana, influenciam na forma como o ser humano trabalha, se comunica e se diverte. Isso devido à conveniência, facilidade de uso e capacidade de fornecer acesso a uma ampla gama de serviços e informações. E para conseguir levar o código até as pessoas desenvolvedoras onde quer que estejam, o GitHub investiu no GitHub Mobile para oferecer novas maneiras de gerenciamento de projetos, proteção de código e conexão com comunidades em diversos lugares.

Dessa forma, o GitHub anuncia hoje dois lançamentos destinados ao fornecimento de novas maneiras de proteção de aplicativos criados na plataforma. O primeiro é a versão beta para suporte de escaneamento de códigos para Swift, que permitirá “escanear” repositórios dessa linguagem em busca de possíveis vulnerabilidades. O segundo anúncio é o suporte futuro para alertas de segurança também para Swift, permitindo que o Dependabot alerte sobre dependências vulneráveis no gráfico de dependência.

De acordo com um relatório da plataforma Statista, apenas em 2022 o número mundial de download de apps foi de 255 bilhões. Por essa razão, a segurança dos Dados precisa ser uma prioridade. Para Walker Chabbott, gerente de Marketing de Produto do GitHub, e Pierre Tempel, gerente de Produto de Equipe, “nunca foi tão essencial garantir que aplicativos móveis sejam seguros e que os Dados das pessoas que os utilizam permaneçam privados”.

Suporte para linguagens mobile no escaneamento de código
Em novembro do ano passado, o GitHub lançou a versão beta do suporte para Kotlin para escaneamento de código. Desde então, pessoas desenvolvedoras corrigiram mais de 6.000 alertas Kotlin na plataforma. “Ter suporte para Kotlin e Swift é crucial para o CodeQL, que é o mecanismo que alimenta o escaneamento de código do GitHub, devido à crescente popularidade e adoção dessas linguagens de programação, que são  amplamente utilizadas no desenvolvimento de aplicativos para plataformas Android e iOS”, afirmam Walker Chabbott e Pierre Tempel.

Ao oferecer suporte para Kotlin e Swift, o escaneamento de código pode analisar e detectar vulnerabilidades de segurança e possíveis ameaças com eficiência para essas linguagens.

Para Swift, isso inclui a identificação de problemas como injections em path, buscas inseguras de visualização da Web, usos indevidos de criptografia e outros tipos de avaliação ou processamento inseguro de Dados do usuário. Garantindo que profissionais identifiquem e resolvam proativamente os problemas de segurança durante o processo de desenvolvimento, com alertas amigáveis às pessoas desenvolvedoras, aprimorando a postura geral de segurança de seus aplicativos. Durante o beta público, o GitHub pretende aumentar gradualmente a cobertura de diferentes pontos fracos.

Agora, Swift também pertence à lista de linguagens suportadas existentes (C/C++, Java/Kotlin, JS/TS, Python, Ruby, C# e Go), o que significa que é possível executar quase 400 verificações em códigos, mantendo as taxas de falsos positivos baixas e a precisão mais alta.

Olhando em frente
Já em relação à segurança da cadeia de suprimentos, o GitHub também adicionou o Swift como um ecossistema de pacotes suportados, com avisos de segurança suportados e selecionados no GitHub Advisory Database, além de dependências do Swift no gráfico de dependências para o final de junho. Isso significa que o Dependabot logo fará alertas sobre dependências vulneráveis para projetos em Swift e abrirá pull requests com a correção sugerida.

Bug Bounty para Swift e Kotlin
Com suporte em beta público para escaneamento de código em Swift e Kotlin, o GitHub Security Lab abriu o programa Bug Bounty para pessoas pesquisadoras de segurança de software enviarem consultas CodeQL para testar projetos open source escritos nessas linguagens.

O programa CodeQL Bug Bounty do GitHub Security Lab visa a dimensionar o trabalho da comunidade de pesquisa de segurança em projetos opensource, e oferece oportunidades para que escrevam uma consulta CodeQL, não apenas para encontrar bugs existentes em escala, mas também para dar suporte às pessoas desenvolvedoras na prevenção de futuros bugs.

Para apoiar o teste beta dessas linguagens mobile, o GitHub Security Lab fornecerá um bônus específico para envios de consulta CodeQL para Swift e Kotlin a partir de hoje até 1º de dezembro de 2023. Os primeiros 10 envios com pontuação High ou Critical receberão uma recompensa adicional de até US$ 2 mil. Pessoas interessadas podem ler mais sobre esse bônus específico no FAQ da bounty page.