Quando abbiamo a che fare con dati sensibili, è bene che questi non vengano mostrati in alcun modo, anche all'interno dei log dei nostri workflow. Per questo motivo, GitHub ci mette a disposizione la possibilità di mascherare questi dati, in modo che non vengano mostrati in alcun...

In GitHub non abbiamo una struttura ben definita per raggruppare una serie di repository in progetti, così come avviene in GitHub. Avere una struttura simile per tutti è spesso importante, perchè così possiamo riutilizzare le stesse informazioni, codice, setting e così via. ...

Aumentare la sicurezza delle nostre applicazioni e dei nostri processi è sempre fondamentale per ridurre al più possibile ogni tipologia di rischio. Nel nostro piccolo, in GitHub, una delle azioni che possiamo intraprendere è la verifica della provenienza dei commit, così da ...

Nel mondo dello sviluppo software, mantenere le librerie e le dipendenze del progetto aggiornate è fondamentale per garantire sicurezza e affidabilità. GitHub offre uno strumento potente per automatizzare questo processo: Dependabot. Dependabot consente agli sviluppatori di ...

Le GitHub Actions, pur essendo uno strumento potente per l'automazione dei flussi di lavoro, possono essere soggette a vulnerabilità di sicurezza come l'injection di script. Questo accade quando un attore malevolo riesce a inserire codice all'interno delle variabili o dei comandi...

Abbiamo già visto in precedenza con uno script dedicato sul canale (https://www.dopsitalia.com/script/89/Impostare-Dinamicamente-Nome-Run-Workflow-GitHub.aspx) come sia facile per un workflow di GitHub impostare un nome dinamico per la run in esecuzione.In questo script, invece, ...

Le custom property in GitHub sono uno strumento molto utile perché ci consentono di applicare dei metadati su tutti i repository dell'organizzazione, per fare in modo che questi rispettino determinati requisiti di compliance o di protezione dei dati. Per esempio, una regola ...

Abbiamo assistito recentemente alla backdoor e all'enorme problema di sicurezza introdotto nella libreria XZ utils. Questo genere di attacco si definisce "supply chain attack" e non è importante quanto tempo ci si metta per realizzarlo, ma l'effetto devastante che avrà. Questo ...

In uno script precedente (https://www.dopsitalia.com/script/111/Disabilitare-Automaticamente-Workflow-GitHub.aspx) abbiamo visto come sia facile disabilitare automaticamente un workflow esistente. Questo, però, funziona solamente nel momento in cui il workflow è nello stato "...

Nell'ottica di ottimizzare sempre di più i processi, diventa naturale dover eseguire chiamate REST alle API di GitHub per automatizzare determinate operazioni. Tuttavia, non è sempre possibile utilizzare il token di GitHub (il GITHUB_TOKEN), perché questo ha effetto solo nel ...