Moat: інструмент для аудиту безпеки вашого GitHub-акаунта.

Перекладено ШІ 0 Laravel News 26 травня, 2026

Laravel презентував Moat — новий CLI-інструмент для комплексного аудиту безпеки репозиторіїв та організацій у GitHub. Дізнайтеся, як за допомогою однієї команди виявити критичні вразливості та посилити захист ваших проєктів.

Moat — це новий CLI-інструмент, який аналізує стан безпеки профілю користувача, організації чи репозиторію в GitHub. Лише одна команда дозволяє перевірити вбудовані засоби контролю GitHub та отримати звіт із переліком активних і відсутніх налаштувань, а також тих параметрів, на які варто звернути увагу.

Ці засоби безпеки вже існують у GitHub, але вони розпорошені по десятках сторінок налаштувань. Moat збирає їх в єдиний огляд, щоб ви могли бачити повну картину. Для авторів пакетів це критично важливо, оскільки кожен реліз із GitHub потрапляє до Composer, а звідти — у застосунки, що від нього залежать.

# Що він перевіряє

Moat аналізує налаштування на рівнях користувача, організації, репозиторію, гілки, релізу та workflow. Перевірки включають:

  • Two-factor authentication
  • Branch protection
  • Signed commits
  • Secret scanning та Secret push protection
  • Dependabot alerts та Security updates
  • Immutable releases
  • Fork pull request approval
  • Workflow permissions та Pinned actions
  • Зловживання pull_request_target
  • Repository webhooks
  • Direct collaborators
  • Private vulnerability reporting
  • Наявність файлу SECURITY.md

Кожна знахідка супроводжується коротким поясненням ризиків. Звіт також містить оцінку захищеності (hardening score) разом із загальною кількістю результатів PASS та FAIL.

# Як почати роботу

Moat доступний через Homebrew або у вигляді prebuilt binaries. Після встановлення просто вкажіть назву акаунта, організації чи репозиторію:

moat <github-account-or-organization-or-repository>

Для автентифікації Moat використовує токен із GITHUB_TOKEN, GH_TOKEN або активну сесію GitHub CLI через gh auth token.

Щоб адаптувати перевірку під свої потреби, додайте файл moat.toml у корінь репозиторію. Це дозволить вимикати окремі перевірки або вказувати додаткові гілки релізів.

# Чим Moat не є

Проєкт має чітко визначені межі. Moat працює лише в режимі read-only: він не змінює налаштування і не захищає репозиторії замість вас. Інструмент не запобігає вторгненням і не усуває наслідки компрометації — він лише надає рекомендації на основі налаштувань GitHub, які ви маєте оцінити самостійно.

«Чистий» звіт не гарантує повної безпеки акаунта, а негативний — не означає, що його зламали. Moat — це чеклист для вбудованих функцій безпеки GitHub, а не повноцінний продукт для supply chain security.

Спробувати інструмент можна в репозиторії Moat на GitHub.

Популярні

Інше, що варто прочитати

173 Оновлено 26 травня, 2026

Використання повнотекстового пошуку в Laravel

Laravel пропонує потужні можливості повнотекстового пошуку за допомогою методів whereFullText та orWhereFullText, що дозволяють здійснювати складні запити до бази даних. Дізнайтеся, як реалізувати ефективний пошук для вашого блогу чи системи управління контентом

2026 ЧИТАТИ
81 Оновлено 26 травня, 2026

Все, що потрібно знати про Laravel 13

Laravel 13 вийде в березні 2026 року й вимагатиме мінімум PHP 8.3. Хочете дізнатися, як PHP‑атрибути для моделей, нові налаштування черг і метод Cache::touch() вплинуть на вашу розробку?

2026 ЧИТАТИ
37 Оновлено 26 травня, 2026

4 поширені помилки Vite у Laravel

Використання Vite для створення фронтенд-ресурсів у вашому додатку Laravel може бути захоплюючим, але іноді ви можете стикнутися з певними помилками. У цій статті ми розглянемо чотири поширені помилки, з якими ви можете зіткнутися, а також підкажемо способи їх усунення, щоб ви могли знову зосередитися на розробці вашого додатку

2026 ЧИТАТИ