GitHub改进漏洞工作流,加入CVE编号授权

2019 年 10 月 04 日

GitHub改进漏洞工作流,加入CVE编号授权

随着对Semmle的收购,GitHub 宣布了一些改进,旨在使维护人员和开发人员更容易修复和防止漏洞。这包括创建安全警告并直接从 GitHub UI 分配 CVE 编号。


正如 GitHub 高级副总裁 Niyogi Shanku 所言,当项目维护者或任何具有存储库管理特权的人发现漏洞时,他们现在都可以创建一个安全警告草案,提供了一个私有区域来讨论和修复漏洞。对于任何类型的存储库,不管是私有的还是公开的,安全警告都是私有的,并且能够精细控制哪些协作者可以访问


最重要的是,安全警告允许创建存储库的临时私有分支,使开发人员能够开发修复程序,而不必冒着事前将敏捷信息向外部人员提供的风险。要保证这一点,就不能通过持续集成任务或其他集成访问临时私有分支。


所有提到的特性都被分组在 GitHub UI 新增的 Security 选项卡下,包括创建安全警告、创建临时私有分支、创建 pull 请求,并将其合并到主分支中。



GitHub 还宣布了一项重大的工作流改进,就是可以为 GitHub 上打开的安全警告发布 CVE。为了实现这一点,GitHub 已经成为开源项目的 CVE 编号授权机构。由Mitre公司运营的 CVE 提供了一种方法,可以惟一地指代与之相关的所有对话和交流中的漏洞。这使得尽早获得 CVE 非常有用,甚至在漏洞修复可用之前——这正是 GitHub 试图通过在 GitHub UI 中直接集成此功能来简化开发人员工作的地方。


这并不是 GitHub 第一次添加旨在帮助开发人员保护代码安全的特性。几个月前,GitHub 推出了基于Dependabot的自动化安全PR,它可以扫描项目的所有依赖项,并自动提交 PR 来更新任何易受攻击的依赖项。在此之前,GitHub 引入了漏洞警报,以警告开发人员在他们的项目依赖项中发现的任何已知漏洞。最后但并同样重要的是,GitHub 还支持令牌扫描,以防止开发人员在推送到公共存储库时无意中共享令牌和加密密钥。


GitHub 维护者安全警告目前处于公测阶段。


原文链接


GitHub Improves Vulnerability Workflows and Becomes CVE Numbering Authority


2019 年 10 月 04 日 08:001722
用户头像

发布了 323 篇内容, 共 140.6 次阅读, 收获喜欢 661 次。

关注

评论

发布
暂无评论
发现更多内容

技术解读丨目标检测之RepPoints系列算法

华为云开发者社区

算法 神经 目标检查

重塑产业+价值共识,区块链助力供应链金融数字化

CECBC区块链专委会

区块链 供应链物链

第三课代码重构课后作业

Geek_michael

极客大学架构师训练营

区块链如何深刻变革现代金融?

CECBC区块链专委会

区块链 金融

软件架构(2)-框架设计

Zeke

极客大学架构师训练营

从三个产业侧影,打开万物智能的应用之匙

脑极体

设计模式--正确学习姿势

张荣召

中秋佳节,程序员教你AI三步成诗,秒变“李白”

华为云开发者社区

AI 中秋

剖析Java15新语法特性

高翔龙

Java 架构 Java 分布式 java15新特性

不是我不小心

escray

Java ruby ruby-on-rails 面经 101次面试

第三周 作业1

Yangjing

极客大学架构师训练营

设计模式-单例模式

张荣召

在vue2中使用ts

正经工程师

typescript vue.js

一周信创舆情观察(9.21~9.27)

统小信uos

一个草根的日常杂碎(9月30日)

刘新吾

随笔杂谈 生活记录 社会百态

设计模式--模板模式/策略模式

张荣召

Template Pattern Strategy Pattern

架构师训练营第三周-homework

张荣召

架构师训练营第三周--学习总结

张荣召

区块链有助金融监管效能提升

CECBC区块链专委会

区块链 金融

架构训练营第二周作业

Geek_ce484f

极客大学架构师训练营

【获奖名单】赢千元数码大奖!竟然如此简单!

InfoQ写作平台

美食 摄影 活动专区

全文!马云对数字时代全球化的全新解读

CECBC区块链专委会

全球化 数字时代

代码重构 - 课后作业

Nick~毓

java安全编码指南之:死锁dead lock

程序那些事

java安全编码 java安全 java安全编码指南

区块链技术在司法行业的服务应用

CECBC区块链专委会

区块链 司法

数据库选型入门必读:如何在眼花缭乱的产品中挑出最适合业务的?

华为云开发者社区

数据库 数据库选择 关系型

区块链掀起全民创业热潮!数字资产是未来全球最具前景和价值的!

CECBC区块链专委会

区块链 数字货币

甲方日常 25

句子

生活 随笔杂谈 日常

架构师训练营 1 期第 3 周:代码重构 - 作业

piercebn

极客大学架构师训练营

架构训练营第二周作业

Geek_ce484f

极客大学架构师训练营

设计模式--组合模式/装饰模式

张荣召

Composite Pattern Decorator Pattern

GitHub改进漏洞工作流,加入CVE编号授权-InfoQ