写点什么

GitHub 增加 Dependabot:新增自动化安全 PR 等一些安全特性

  • 2019-06-11
  • 本文字数:1028 字

    阅读完需:约 3 分钟

GitHub增加Dependabot:新增自动化安全PR等一些安全特性

GitHub 宣布增加一些新的特性,旨在帮助开发者保护其代码,包括能够针对需要为包含安全补丁而更新的依赖创建 PR,支持与 WhiteSource 数据集成,以增强漏洞评估和增进对依赖关系的理解。


GitHub 安全相关的特性基于的是漏洞报警,这些特性是在2017年推出的,其目的是在项目的依赖关系中发现任何漏洞时,及时向开发人员报警。根据 GitHub 自己提供的数据,尽管自那时起,其已提供了超过 2700 百万次安全报警,但是打补丁的过程经常仍然缓慢:


“虽然安全漏洞报警给用户提供了信息来保护其项目,行业数据显示,超过 70%的漏洞在被发现 30 天后仍然没有打补丁,甚至有些 1 年后都还没打补丁。”


GitHub 的数据与其他厂商的分析结果高度一致,这些分析均列出了开源社区要想改进其安全实践需要采取的行动


为了让项目维护人员更快和更便捷地给代码打补丁,GitHub前不久刚刚收购了Dependabot,并且宣布 Dependabot 免费。Dependabot 原先是GitHub集市上的一款付费服务,它能够扫描项目的依赖关系,发现其中的所有漏洞,并且自动为每一个漏洞创建 PR。这样一来,维护人员通过简单地合并这些 PR,就能够修补安全漏洞。


另外,为了帮助企业项目维护人员及时地审核项目的依赖关系和任何漏洞的暴露程度,GitHub 还推出了依赖关系洞察的特性。依赖关系洞察采用 GitHub 依赖关系图表,向开发者展示项目依赖关系状态的概况,包括公开安全公告、列出并检查项目的依赖关系,等等。


另外一个新特性是 GitHub 安全报警与开源安全平台WhiteSource的集成,这样做的目的在于为开发者提供更多有关已发现漏洞的数据。GitHub 称,该特性将扩大目前平台能够检测到的潜在漏洞的范围,并帮助开发者挑出更危险的漏洞,然后修补和上报这些漏洞。


最后一点,为了改善项目维护人员交换信息和讨论任何已发行的漏洞时的沟通,GitHub 现在还推出了一个名为维护人员安全通告的私人工作空间,以改善维护人员之间的交流,防止将敏感信息不慎泄露给黑客。另外,现在 GitHub 也支持显性设置与某个项目相关的安全策略,因此代码贡献人员能够知道他们怎样一种负责任上报漏洞方式

作者介绍

Sergio De Simone 是一位软件工程师。Sergio 担任软件工程师已经 15 多年了,曾工作于许多不同的项目和公司,包括西门子、惠普和一些小型创业公司。过去几年,他的工作重心一直是移动平台和相关技术的开发。他现在是 BigML 股份有限公司 iOS 和 OS X 开发总监。


查看英文原文GitHub Adds Dependabot Automated Security PRs and More Security-related Features


2019-06-11 09:017130
用户头像

发布了 34 篇内容, 共 19.3 次阅读, 收获喜欢 47 次。

关注

评论

发布
暂无评论
发现更多内容

C++内存池的简单原理及实现(纯代码解析)

简说Linux内核

Linux服务器开发 Linux内核 驱动开发 嵌入式开发

DIKW金字塔,AI爬到第几层了?

脑极体

Python 中有什么不容易让人察觉的有趣的事实?

Jackpop

每位互联网人才都应该明白怎么通过XSS获取cookie

喀拉峻

网络安全 安全 信息安全

音视频&流媒体的原理以及基础入门知识

玩转音视频技术

Linux SRS 音视频开发 流媒体开发

一文读懂Linux内核进程调度原理

简说Linux内核

内存管理 Linux内核 进程管理 驱动开发 嵌入式开发

从单机定时到多层分发

程序员小航

Java 定时任务 XXL-JOB

2022第13周-技术分享记事

李印

随笔 工作经验

编程新手如何提高编程能力?

Jackpop

手写实现分布式锁

Linux服务器开发

分布式锁 协程 定时器 后端开发 Linux服务器开发

微服务分布式事务处理

俞凡

架构 微服务

浅析基于Linux下的调度类分析(代码演示)

简说Linux内核

内存管理 Linux Kenel Linux内核 进程管理 嵌入式开发

mass哈希娱乐游戏Dapp开发搭建

薇電13242772558

区块链

微信朋友圈的高性能复杂度

锎心😌😌😌

python中self与__init__怎么解释能让小白弄懂?

Jackpop

架构实战营 第 6 期 模块二课后作业

火钳刘明

#架构实战营 「架构实战营」

Go 实现 WebSockets:2. 如何在 Go 中创建 WebSockets 应用程序

宇宙之一粟

Go 语言 web socket 4月月更

LotusDB 设计与实现—1 基本概念

roseduan

Go 数据库 存储

内存是什么?一文搞懂内存是怎么实现的

简说Linux内核

内存管理 Linux内核 嵌入式开发 设备驱动

8000字长文图解String,这次彻底搞懂了

Jackpop

linux之tree命令

入门小站

全链路压测(九):容量评估和容量规划

老张

性能测试 全链路压测 稳定性保障

网络安全之红蓝对抗实战

网络安全学海

网络安全 信息安全 渗透测试 WEB安全 漏洞挖掘

C/C++程序员黄金方向-音视频基础知识和ffmpeg编译

玩转音视频技术

HLS SRS 音视频开发 流媒体开发 C/C++程序员

模块2作业

KennyQ

在终端中使用 GitHub Personal Access Token 访问仓库

信号量

框架中的自定义网关

Rubble

4月日更

茴字有四种写法,HTAP呢?

MatrixOrigin

数据库 MatrixOrigin MatrixOne 矩阵起源 超融合数据库

MongoDB的原理、基本使用、集群和分片集群

神农写代码

CRMEB多商户后台前端代码打包并更新打包的代码到项目里面教程详解

CRMEB

软件设计模式:桥接模式

正向成长

设计模式 桥接模式

GitHub增加Dependabot:新增自动化安全PR等一些安全特性_软件工程_Sergio De Simone_InfoQ精选文章