随着对Semmle的收购,GitHub 宣布了一些改进,旨在使维护人员和开发人员更容易修复和防止漏洞。这包括创建安全警告并直接从 GitHub UI 分配 CVE 编号。
正如 GitHub 高级副总裁 Niyogi Shanku 所言,当项目维护者或任何具有存储库管理特权的人发现漏洞时,他们现在都可以创建一个安全警告草案,提供了一个私有区域来讨论和修复漏洞。对于任何类型的存储库,不管是私有的还是公开的,安全警告都是私有的,并且能够精细控制哪些协作者可以访问。
最重要的是,安全警告允许创建存储库的临时私有分支,使开发人员能够开发修复程序,而不必冒着事前将敏捷信息向外部人员提供的风险。要保证这一点,就不能通过持续集成任务或其他集成访问临时私有分支。
所有提到的特性都被分组在 GitHub UI 新增的 Security 选项卡下,包括创建安全警告、创建临时私有分支、创建 pull 请求,并将其合并到主分支中。
GitHub 还宣布了一项重大的工作流改进,就是可以为 GitHub 上打开的安全警告发布 CVE。为了实现这一点,GitHub 已经成为开源项目的 CVE 编号授权机构。由Mitre公司运营的 CVE 提供了一种方法,可以惟一地指代与之相关的所有对话和交流中的漏洞。这使得尽早获得 CVE 非常有用,甚至在漏洞修复可用之前——这正是 GitHub 试图通过在 GitHub UI 中直接集成此功能来简化开发人员工作的地方。
这并不是 GitHub 第一次添加旨在帮助开发人员保护代码安全的特性。几个月前,GitHub 推出了基于Dependabot的自动化安全PR,它可以扫描项目的所有依赖项,并自动提交 PR 来更新任何易受攻击的依赖项。在此之前,GitHub 引入了漏洞警报,以警告开发人员在他们的项目依赖项中发现的任何已知漏洞。最后但并同样重要的是,GitHub 还支持令牌扫描,以防止开发人员在推送到公共存储库时无意中共享令牌和加密密钥。
GitHub 维护者安全警告目前处于公测阶段。
原文链接:
GitHub Improves Vulnerability Workflows and Becomes CVE Numbering Authority
评论