GitHub 增加 Dependabot 自动化安全 PR 和更多其它安全特性

GitHub 宣布增加一些新的特性，旨在帮助开发者保护其代码，包括能够针对需要为包含安全补丁而更新的依赖创建 PR，支持与 WhiteSource 数据集成，以增强漏洞评估和增进对依赖关系的理解。

GitHub 安全相关的特性基于的是漏洞报警，这些特性是在2017年推出的，其目的是在项目的依赖关系中发现任何漏洞时，及时向开发人员报警。根据 GitHub 自己提供的数据，尽管自那时起，其已提供了超过 2700 百万次安全报警，但是打补丁的过程经常仍然缓慢：

“虽然安全漏洞报警给用户提供了信息来保护其项目，行业数据显示，超过 70%的漏洞在被发现 30 天后仍然没有打补丁，甚至有些 1 年后都还没打补丁。”

GitHub 的数据与其他厂商的分析结果高度一致，这些分析均列出了开源社区要想改进其安全实践需要采取的行动。

为了让项目维护人员更快和更便捷地给代码打补丁，GitHub前不久刚刚收购了Dependabot，并且宣布 Dependabot 免费。Dependabot 原先是GitHub集市上的一款付费服务，它能够扫描项目的依赖关系，发现其中的所有漏洞，并且自动为每一个漏洞创建 PR。这样一来，维护人员通过简单地合并这些 PR，就能够修补安全漏洞。

另外，为了帮助企业项目维护人员及时地审核项目的依赖关系和任何漏洞的暴露程度，GitHub 还推出了依赖关系洞察的特性。依赖关系洞察采用 GitHub 依赖关系图表，向开发者展示项目依赖关系状态的概况，包括公开安全公告、列出并检查项目的依赖关系，等等。

另外一个新特性是 GitHub 安全报警与开源安全平台WhiteSource的集成，这样做的目的在于为开发者提供更多有关已发现漏洞的数据。GitHub 称，该特性将扩大目前平台能够检测到的潜在漏洞的范围，并帮助开发者挑出更危险的漏洞，然后修补和上报这些漏洞。

最后一点，为了改善项目维护人员交换信息和讨论任何已发行的漏洞时的沟通，GitHub 现在还推出了一个名为维护人员安全通告的私人工作空间，以改善维护人员之间的交流，防止将敏感信息不慎泄露给黑客。另外，现在 GitHub 也支持显性设置与某个项目相关的安全策略，因此代码贡献人员能够知道他们怎样做是一种负责任地上报漏洞方式。

作者介绍

Sergio De Simone 是一位软件工程师。Sergio 担任软件工程师已经 15 多年了，曾工作于许多不同的项目和公司，包括西门子、惠普和一些小型创业公司。过去几年，他的工作重心一直是移动平台和相关技术的开发。他现在是 BigML 股份有限公司 iOS 和 OS X 开发总监。

原文链接：

GitHub Adds Dependabot Automated Security PRs and More Security-related Features