AICon上海|与字节、阿里、腾讯等企业共同探索Agent 时代的落地应用 了解详情
写点什么

GitHub 增加 Dependabot 自动化安全 PR 和更多其它安全特性

  • 2019-07-13
  • 本文字数:1026 字

    阅读完需:约 3 分钟

GitHub 增加 Dependabot 自动化安全 PR 和更多其它安全特性

GitHub 宣布增加一些新的特性,旨在帮助开发者保护其代码,包括能够针对需要为包含安全补丁而更新的依赖创建 PR,支持与 WhiteSource 数据集成,以增强漏洞评估和增进对依赖关系的理解。


GitHub 安全相关的特性基于的是漏洞报警,这些特性是在2017年推出的,其目的是在项目的依赖关系中发现任何漏洞时,及时向开发人员报警。根据 GitHub 自己提供的数据,尽管自那时起,其已提供了超过 2700 百万次安全报警,但是打补丁的过程经常仍然缓慢:


“虽然安全漏洞报警给用户提供了信息来保护其项目,行业数据显示,超过 70%的漏洞在被发现 30 天后仍然没有打补丁,甚至有些 1 年后都还没打补丁。”


GitHub 的数据与其他厂商的分析结果高度一致,这些分析均列出了开源社区要想改进其安全实践需要采取的行动


为了让项目维护人员更快和更便捷地给代码打补丁,GitHub前不久刚刚收购了Dependabot,并且宣布 Dependabot 免费。Dependabot 原先是GitHub集市上的一款付费服务,它能够扫描项目的依赖关系,发现其中的所有漏洞,并且自动为每一个漏洞创建 PR。这样一来,维护人员通过简单地合并这些 PR,就能够修补安全漏洞。


另外,为了帮助企业项目维护人员及时地审核项目的依赖关系和任何漏洞的暴露程度,GitHub 还推出了依赖关系洞察的特性。依赖关系洞察采用 GitHub 依赖关系图表,向开发者展示项目依赖关系状态的概况,包括公开安全公告、列出并检查项目的依赖关系,等等。


另外一个新特性是 GitHub 安全报警与开源安全平台WhiteSource的集成,这样做的目的在于为开发者提供更多有关已发现漏洞的数据。GitHub 称,该特性将扩大目前平台能够检测到的潜在漏洞的范围,并帮助开发者挑出更危险的漏洞,然后修补和上报这些漏洞。


最后一点,为了改善项目维护人员交换信息和讨论任何已发行的漏洞时的沟通,GitHub 现在还推出了一个名为维护人员安全通告的私人工作空间,以改善维护人员之间的交流,防止将敏感信息不慎泄露给黑客。另外,现在 GitHub 也支持显性设置与某个项目相关的安全策略,因此代码贡献人员能够知道他们怎样一种负责任上报漏洞方式

作者介绍

Sergio De Simone 是一位软件工程师。Sergio 担任软件工程师已经 15 多年了,曾工作于许多不同的项目和公司,包括西门子、惠普和一些小型创业公司。过去几年,他的工作重心一直是移动平台和相关技术的开发。他现在是 BigML 股份有限公司 iOS 和 OS X 开发总监。


原文链接:


GitHub Adds Dependabot Automated Security PRs and More Security-related Features


2019-07-13 08:002901
用户头像

发布了 34 篇内容, 共 19.7 次阅读, 收获喜欢 47 次。

关注

评论

发布
暂无评论
发现更多内容

实时云渲染的关键技术是什么?

Finovy Cloud

人工智能 云渲染 实时渲染

zookeeper-四字监控命令和工具

zarmnosaj

10月月更

Surpass Day——Java 抽象类和接口

胖虎不秃头

Java 10月月更 se

2022-10-09:我们给出了一个(轴对齐的)二维矩形列表 rectangles 。 对于 rectangle[i] = [x1, y1, x2, y2],其中(x1,y1)是矩形 i 左下角的坐

福大大架构师每日一题

算法 rust 福大大

使用最小花费爬楼梯

掘金安东尼

算法 10月月更

http协议简介

芯动大师

Cookie HTTP协议 Cookie反爬虫 10月月更

HTML的简介

芯动大师

HTML标准 10月月更 HTML元素

跟着卷卷龙一起学Camera--透镜组

卷卷龙

ISP camera 10月月更

【Nacos源码之配置管理 九】客户端获取配置数据的流程

石臻臻的杂货铺

nacos 10月月更

面试突击89:事务隔离级别和传播机制有什么区别?

王磊

_fitoa_word的实现:一个整型数据是如何转成字符串的呢?

桑榆

源码刨析 10月月更 C++

leetcode 145. Binary Tree Postorder Traversal 二叉树的后序遍历 (中等)

okokabcd

LeetCode 数据结构与算法

Linux性能问题分析流程与性能优化思路

五分钟学大数据

Linux 10月月更

数据结构学习,栈篇(顺序栈)

IC00

数据结构 算法 学习笔记 10月月更

Surpass Day——Java 接口在开发中的作用、关于Object类、内部类

胖虎不秃头

Java 10月月更 se

如何低成本实现客户服务自动化?

Baklib

Surpass Day——IntelliJ IDEA和eclipse的使用、super关键字

胖虎不秃头

Java 10月月更 se

Hacktoberfest 2022:Jenkins maven-snapshot-check Plugin 的改进实践

donghui

jenkins Hacktoberfest

爬虫的简介

芯动大师

Python语法 10月月更 爬虫简介

跟着卷卷龙一起学Camera--压缩与存储

卷卷龙

ISP camera 10月月更

跟着卷卷龙一起学Camera--BM3D

卷卷龙

ISP camera 10月月更

Vue3入门指北(十二)模板引用

Augus

Vue 3 10月月更

Spring之IOC

楠羽

笔记 spring 源码 10月月更

应用监控可视化工具Grafana&Kibana对比

阿泽🧸

10月月更 监控可视化

简述Docker改造传统应用的流程

穿过生命散发芬芳

Docker 10月月更

Android Coder浅谈队列同步器(AQS)

子不语Any

后端 java; 10月月更

Zebec地平线节点运营计划,Web3流支付赛道或多一条全新公链

股市老人

【愚公系列】2022年10月 Go教学课程 023-Go容器之列表

愚公搬代码

10月月更

【C语言内功修炼】柔性数组的奥秘

Albert Edison

数组 C语言 10月月更 柔性数组

六类网线、七类网线、八类网线区别有哪些?

wljslmz

10月月更 弱电 以太网线 综合布线

GitHub 增加 Dependabot 自动化安全 PR 和更多其它安全特性_语言 & 开发_Sergio De Simone_InfoQ精选文章