GitHub改进漏洞工作流,加入CVE编号授权

随着对Semmle的收购,GitHub宣布了一些改进,旨在使维护人员和开发人员更容易修复和防止漏洞。这包括创建安全警告并直接从GitHub UI分配CVE编号。

正如GitHub高级副总裁Niyogi Shanku所言,当项目维护者或任何具有存储库管理特权的人发现漏洞时,他们现在都可以创建一个安全警告草案,提供了一个私有区域来讨论和修复漏洞。对于任何类型的存储库,不管是私有的还是公开的,安全警告都是私有的,并且能够精细控制哪些协作者可以访问

最重要的是,安全警告允许创建存储库的临时私有分支,使开发人员能够开发修复程序,而不必冒着事前将敏捷信息向外部人员提供的风险。要保证这一点,就不能通过持续集成任务或其他集成访问临时私有分支。

所有提到的特性都被分组在GitHub UI新增的Security选项卡下,包括创建安全警告、创建临时私有分支、创建pull请求,并将其合并到主分支中。

GitHub还宣布了一项重大的工作流改进,就是可以为GitHub上打开的安全警告发布CVE。为了实现这一点,GitHub已经成为开源项目的CVE编号授权机构。由Mitre公司运营的CVE提供了一种方法,可以惟一地指代与之相关的所有对话和交流中的漏洞。这使得尽早获得CVE非常有用,甚至在漏洞修复可用之前——这正是GitHub试图通过在GitHub UI中直接集成此功能来简化开发人员工作的地方。

这并不是GitHub第一次添加旨在帮助开发人员保护代码安全的特性。几个月前,GitHub推出了基于Dependabot的自动化安全PR,它可以扫描项目的所有依赖项,并自动提交PR来更新任何易受攻击的依赖项。在此之前,GitHub引入了漏洞警报,以警告开发人员在他们的项目依赖项中发现的任何已知漏洞。最后但并同样重要的是,GitHub还支持令牌扫描,以防止开发人员在推送到公共存储库时无意中共享令牌和加密密钥。

GitHub维护者安全警告目前处于公测阶段。

原文链接

GitHub Improves Vulnerability Workflows and Becomes CVE Numbering Authority

  • 发表于:
  • 本文为 InfoQ 中文站特供稿件
  • 首发地址https://www.infoq.cn/article/I8gZBadRNkvYpXh6IFF1
  • 如有侵权,请联系 yunjia_community@tencent.com 删除。

扫码关注云+社区

领取腾讯云代金券