写点什么

GitHub 增加 Dependabot 自动化安全 PR 和更多其它安全特性

  • 2019-07-13
  • 本文字数:1026 字

    阅读完需:约 3 分钟

GitHub 增加 Dependabot 自动化安全 PR 和更多其它安全特性

GitHub 宣布增加一些新的特性,旨在帮助开发者保护其代码,包括能够针对需要为包含安全补丁而更新的依赖创建 PR,支持与 WhiteSource 数据集成,以增强漏洞评估和增进对依赖关系的理解。


GitHub 安全相关的特性基于的是漏洞报警,这些特性是在2017年推出的,其目的是在项目的依赖关系中发现任何漏洞时,及时向开发人员报警。根据 GitHub 自己提供的数据,尽管自那时起,其已提供了超过 2700 百万次安全报警,但是打补丁的过程经常仍然缓慢:


“虽然安全漏洞报警给用户提供了信息来保护其项目,行业数据显示,超过 70%的漏洞在被发现 30 天后仍然没有打补丁,甚至有些 1 年后都还没打补丁。”


GitHub 的数据与其他厂商的分析结果高度一致,这些分析均列出了开源社区要想改进其安全实践需要采取的行动


为了让项目维护人员更快和更便捷地给代码打补丁,GitHub前不久刚刚收购了Dependabot,并且宣布 Dependabot 免费。Dependabot 原先是GitHub集市上的一款付费服务,它能够扫描项目的依赖关系,发现其中的所有漏洞,并且自动为每一个漏洞创建 PR。这样一来,维护人员通过简单地合并这些 PR,就能够修补安全漏洞。


另外,为了帮助企业项目维护人员及时地审核项目的依赖关系和任何漏洞的暴露程度,GitHub 还推出了依赖关系洞察的特性。依赖关系洞察采用 GitHub 依赖关系图表,向开发者展示项目依赖关系状态的概况,包括公开安全公告、列出并检查项目的依赖关系,等等。


另外一个新特性是 GitHub 安全报警与开源安全平台WhiteSource的集成,这样做的目的在于为开发者提供更多有关已发现漏洞的数据。GitHub 称,该特性将扩大目前平台能够检测到的潜在漏洞的范围,并帮助开发者挑出更危险的漏洞,然后修补和上报这些漏洞。


最后一点,为了改善项目维护人员交换信息和讨论任何已发行的漏洞时的沟通,GitHub 现在还推出了一个名为维护人员安全通告的私人工作空间,以改善维护人员之间的交流,防止将敏感信息不慎泄露给黑客。另外,现在 GitHub 也支持显性设置与某个项目相关的安全策略,因此代码贡献人员能够知道他们怎样一种负责任上报漏洞方式

作者介绍

Sergio De Simone 是一位软件工程师。Sergio 担任软件工程师已经 15 多年了,曾工作于许多不同的项目和公司,包括西门子、惠普和一些小型创业公司。过去几年,他的工作重心一直是移动平台和相关技术的开发。他现在是 BigML 股份有限公司 iOS 和 OS X 开发总监。


原文链接:


GitHub Adds Dependabot Automated Security PRs and More Security-related Features


2019-07-13 08:002890
用户头像

发布了 34 篇内容, 共 19.6 次阅读, 收获喜欢 47 次。

关注

评论

发布
暂无评论
发现更多内容

计算机网络到底应该怎么学?

Java永远的神

程序员 面试 计算机网络 计算机 tcpip

Tokio 中 hang 死所有 worker 的方法

Databend

在spring boot3中使用native image

程序那些事

spring 程序那些事 spring boot3

Gartner:流程挖掘市场发展空间巨大,2022年预计市场规模将超10亿美元

九科Ninetech

架构实战营4.5 常见存储系统随堂练习

西山薄凉

「架构实战营」

工赋开发者社区 | 工业5.0为何是下一个10年的制造业关键性变革方向?

工赋开发者社区

云原生数据交付平台Kuda在AI场景下的模型分发实践

Geek_c4ea78

机器学习 开源 Kubernetes 容器 云原生

Mac免费实用的读写软件Tuxera NTFS2023

茶色酒

Tuxera NTFS2023\ Tuxera NTFS2023

汽车虚拟仿真,实时云渲染至关重要!

3DCAT实时渲染

云渲染 虚拟仿真 实时渲染 汽车仿真

NLP知识图谱项目合集(信息抽取、文本分类、图神经网络、性能优化等)

汀丶人工智能

人工智能 自然语言处理 深度学习 知识图谱

接口测试这件小事

石臻臻的杂货铺

接口测试

性能提升 40 倍!我们用 Rust 重写了自己的项目

Peefy

rust 编程语言 #go Python.

技术管理者如何发掘写代码之外的能力?

石云升

极客时间 1月月更 技术领导力实战笔记

云上的米开朗基罗:在不确定时代,寻找建筑般的确定性

华为云开发者联盟

云计算 后端 华为云 企业号 1 月 PK 榜

软件测试/测试开发 | Appium 用例录制

测试人

软件测试 自动化测试 测试开发 测试用例 appium

镭速-跨国车企数据高速、安全跨境传输解决方案

镭速

云图说 | 华为云主机安全服务(新版)来啦!

华为云开发者联盟

云计算 后端 华为云 云图说 企业号 1 月 PK 榜

元宇宙成本高吗?构建元宇宙需要多少钱?

3DCAT实时渲染

元宇宙 元宇宙开发 元宇宙成本

【网络安全】记一次红队渗透实战项目

网络安全学海

网络安全 信息安全 计算机 渗透测试 漏洞挖掘

直播预告 | 2月2日,腾讯Light与你一同用AI,让美好变更好

腾源会

公益

可以手动磨皮的p图软件portraiture2023

茶色酒

Portraiture2023

组合多个动画效果 —— Flutter 交错动画(Staggered Animation)简介

岛上码农

flutter ios 前端 动画 安卓开发

工赋开发者社区 | 事件驱动架构要避开的 5 个陷阱

工赋开发者社区

软件测试/测试开发 | Appium环境安装与架构介绍

测试人

软件测试 自动化测试 测试开发 appium

《鹅鸭杀》爆火,一文带你了解如何实现顶流社交游戏

声网

游戏开发 RTC 应用架构

如何通过C#/VB.NET在 Excel 中对形状进行分组或取消分组

在下毛毛雨

C# .net Excel

API 网关策略二三事

API7.ai 技术团队

APISIX 网关设计

【必看知识】PCB设计中焊盘的设计标准

华秋PCB

工具 PCB PCB设计

佛萨奇2.0上链DApp开发|佛萨奇链上开发技术

薇電13242772558

dapp

SimMIM:更简单的掩码图像建模

Zilliz

易观千帆 | 2022年12月银行APP月活跃用户规模盘点

易观分析

金融 手机银行 用户

GitHub 增加 Dependabot 自动化安全 PR 和更多其它安全特性_语言 & 开发_Sergio De Simone_InfoQ精选文章