隨着對Semmle的收購,GitHub宣佈了一些改進,旨在使維護人員和開發人員更容易修復和防止漏洞。這包括創建安全警告並直接從GitHub UI分配CVE編號。
正如GitHub高級副總裁Niyogi Shanku所言,當項目維護者或任何具有存儲庫管理特權的人發現漏洞時,他們現在都可以創建一個安全警告草案,提供了一個私有區域來討論和修復漏洞。對於任何類型的存儲庫,不管是私有的還是公開的,安全警告都是私有的,並且能夠精細控制哪些協作者可以訪問。
最重要的是,安全警告允許創建存儲庫的臨時私有分支,使開發人員能夠開發修復程序,而不必冒着事前將敏捷信息向外部人員提供的風險。要保證這一點,就不能通過持續集成任務或其他集成訪問臨時私有分支。
所有提到的特性都被分組在GitHub UI新增的Security選項卡下,包括創建安全警告、創建臨時私有分支、創建pull請求,並將其合併到主分支中。
GitHub還宣佈了一項重大的工作流改進,就是可以爲GitHub上打開的安全警告發布CVE。爲了實現這一點,GitHub已經成爲開源項目的CVE編號授權機構。由Mitre公司運營的CVE提供了一種方法,可以惟一地指代與之相關的所有對話和交流中的漏洞。這使得儘早獲得CVE非常有用,甚至在漏洞修復可用之前——這正是GitHub試圖通過在GitHub UI中直接集成此功能來簡化開發人員工作的地方。
這並不是GitHub第一次添加旨在幫助開發人員保護代碼安全的特性。幾個月前,GitHub推出了基於Dependabot的自動化安全PR,它可以掃描項目的所有依賴項,並自動提交PR來更新任何易受攻擊的依賴項。在此之前,GitHub引入了漏洞警報,以警告開發人員在他們的項目依賴項中發現的任何已知漏洞。最後但並同樣重要的是,GitHub還支持令牌掃描,以防止開發人員在推送到公共存儲庫時無意中共享令牌和加密密鑰。
GitHub維護者安全警告目前處於公測階段。
原文鏈接:
GitHub Improves Vulnerability Workflows and Becomes CVE Numbering Authority