GitHub宣佈增加一些新的特性,旨在幫助開發者保護其代碼,包括能夠針對需要爲包含安全補丁而更新的依賴創建PR,支持與WhiteSource數據集成,以增強漏洞評估和增進對依賴關係的理解。
GitHub安全相關的特性基於的是漏洞報警,這些特性是在2017年推出的,其目的是在項目的依賴關係中發現任何漏洞時,及時向開發人員報警。根據GitHub自己提供的數據,儘管自那時起,其已提供了超過2700百萬次安全報警,但是打補丁的過程經常仍然緩慢:
“雖然安全漏洞報警給用戶提供了信息來保護其項目,行業數據顯示,超過70%的漏洞在被發現30天后仍然沒有打補丁,甚至有些1年後都還沒打補丁。”
GitHub的數據與其他廠商的分析結果高度一致,這些分析均列出了開源社區要想改進其安全實踐需要採取的行動。
爲了讓項目維護人員更快和更便捷地給代碼打補丁,GitHub前不久剛剛收購了Dependabot,並且宣佈Dependabot免費。Dependabot原先是GitHub集市上的一款付費服務,它能夠掃描項目的依賴關係,發現其中的所有漏洞,並且自動爲每一個漏洞創建PR。這樣一來,維護人員通過簡單地合併這些PR,就能夠修補安全漏洞。
另外,爲了幫助企業項目維護人員及時地審覈項目的依賴關係和任何漏洞的暴露程度,GitHub還推出了依賴關係洞察的特性。依賴關係洞察採用GitHub依賴關係圖表,向開發者展示項目依賴關係狀態的概況,包括公開安全公告、列出並檢查項目的依賴關係,等等。
另外一個新特性是GitHub安全報警與開源安全平臺WhiteSource的集成,這樣做的目的在於爲開發者提供更多有關已發現漏洞的數據。GitHub稱,該特性將擴大目前平臺能夠檢測到的潛在漏洞的範圍,並幫助開發者挑出更危險的漏洞,然後修補和上報這些漏洞。
最後一點,爲了改善項目維護人員交換信息和討論任何已發行的漏洞時的溝通,GitHub現在還推出了一個名爲維護人員安全通告的私人工作空間,以改善維護人員之間的交流,防止將敏感信息不慎泄露給黑客。另外,現在GitHub也支持顯性設置與某個項目相關的安全策略,因此代碼貢獻人員能夠知道他們怎樣做是一種負責任地上報漏洞方式。
作者介紹
Sergio De Simone是一位軟件工程師。Sergio擔任軟件工程師已經15多年了,曾工作於許多不同的項目和公司,包括西門子、惠普和一些小型創業公司。過去幾年,他的工作重心一直是移動平臺和相關技術的開發。他現在是BigML股份有限公司iOS和OS X開發總監。
查看英文原文:GitHub Adds Dependabot Automated Security PRs and More Security-related Features