写点什么

GitHub 增加 Dependabot 自动化安全 PR 和更多其它安全特性

  • 2019-07-13
  • 本文字数:1026 字

    阅读完需:约 3 分钟

GitHub 增加 Dependabot 自动化安全 PR 和更多其它安全特性

GitHub 宣布增加一些新的特性,旨在帮助开发者保护其代码,包括能够针对需要为包含安全补丁而更新的依赖创建 PR,支持与 WhiteSource 数据集成,以增强漏洞评估和增进对依赖关系的理解。


GitHub 安全相关的特性基于的是漏洞报警,这些特性是在2017年推出的,其目的是在项目的依赖关系中发现任何漏洞时,及时向开发人员报警。根据 GitHub 自己提供的数据,尽管自那时起,其已提供了超过 2700 百万次安全报警,但是打补丁的过程经常仍然缓慢:


“虽然安全漏洞报警给用户提供了信息来保护其项目,行业数据显示,超过 70%的漏洞在被发现 30 天后仍然没有打补丁,甚至有些 1 年后都还没打补丁。”


GitHub 的数据与其他厂商的分析结果高度一致,这些分析均列出了开源社区要想改进其安全实践需要采取的行动


为了让项目维护人员更快和更便捷地给代码打补丁,GitHub前不久刚刚收购了Dependabot,并且宣布 Dependabot 免费。Dependabot 原先是GitHub集市上的一款付费服务,它能够扫描项目的依赖关系,发现其中的所有漏洞,并且自动为每一个漏洞创建 PR。这样一来,维护人员通过简单地合并这些 PR,就能够修补安全漏洞。


另外,为了帮助企业项目维护人员及时地审核项目的依赖关系和任何漏洞的暴露程度,GitHub 还推出了依赖关系洞察的特性。依赖关系洞察采用 GitHub 依赖关系图表,向开发者展示项目依赖关系状态的概况,包括公开安全公告、列出并检查项目的依赖关系,等等。


另外一个新特性是 GitHub 安全报警与开源安全平台WhiteSource的集成,这样做的目的在于为开发者提供更多有关已发现漏洞的数据。GitHub 称,该特性将扩大目前平台能够检测到的潜在漏洞的范围,并帮助开发者挑出更危险的漏洞,然后修补和上报这些漏洞。


最后一点,为了改善项目维护人员交换信息和讨论任何已发行的漏洞时的沟通,GitHub 现在还推出了一个名为维护人员安全通告的私人工作空间,以改善维护人员之间的交流,防止将敏感信息不慎泄露给黑客。另外,现在 GitHub 也支持显性设置与某个项目相关的安全策略,因此代码贡献人员能够知道他们怎样一种负责任上报漏洞方式

作者介绍

Sergio De Simone 是一位软件工程师。Sergio 担任软件工程师已经 15 多年了,曾工作于许多不同的项目和公司,包括西门子、惠普和一些小型创业公司。过去几年,他的工作重心一直是移动平台和相关技术的开发。他现在是 BigML 股份有限公司 iOS 和 OS X 开发总监。


原文链接:


GitHub Adds Dependabot Automated Security PRs and More Security-related Features


2019-07-13 08:002933
用户头像

发布了 34 篇内容, 共 20.1 次阅读, 收获喜欢 47 次。

关注

评论

发布
暂无评论
发现更多内容

碳课堂|什么是碳标签?产品为什么要贴上“碳标签”?

AMT企源

数字化转型 双碳 碳管理 碳标签

AI 应用实战营 - 作业 五 - SD WebUI

德拉古蒂洛维奇

【论文速读】| TCSR-SQL:面向表内容感知的自检索文本到SQL方法

云起无垠

MobPush REST API的推送 API之创建推送

MobTech袤博科技

Java 开发者 产品动态

南京大学携手和鲸、智谱,签署“101 数智领航计划”,共启人工智能赋能教育新篇章

ModelWhale

人工智能 数据科学 校企合作 智谱AI

手把手教你基于华为云鲲鹏弹性云服务器部署Node.js环境

华为云开发者联盟

node.js Linux 云服务 华为云开发者联盟 企业号2024年7月PK榜

Meme“吞噬”市场,VC项目失宠,加密市场下一步何去何从?

区块链软件开发推广运营

dapp开发 区块链开发 链游开发 NFT开发 公链开发

软件测试学习笔记丨测试用例流程设计

测试人

软件测试

2024-07-17:用go语言,给定一个整数数组nums, 我们可以重复执行以下操作: 选择数组中的前两个元素并删除它们, 每次操作得到的分数是被删除元素的和。 在保持所有操作的分数相同的前提下,

福大大架构师每日一题

福大大架构师每日一题

基于Java+SpringBoot+vue+element图书个性化推荐系统设计实现

hunter_coder

后端开发

开源数据大屏

源字节1号

小程序 开源 前端 后端

京东商品搜索API(jd.item_search)返回值与营销策略

技术冰糖葫芦

API API 编排 API 文档 API 协议

详解 Apifox:批量添加接口请求 Body 参数的方法

Apifox

程序员 前端 后端 API body

安全与便捷并行,打造高效易用的用户支付体验

HarmonyOS SDK

HarmonyOS

MQTT & micro-ROS:构建高效的机器人应用

EMQ映云科技

物联网 机器人 mqtt emqx

从基础到高级应用,详解用Python实现容器化和微服务架构

华为云开发者联盟

Python Docker 微服务 华为云开发者联盟 企业号2024年7月PK榜

软件测试简历书写、职业规划及面试的必备技能

测吧(北京)科技有限公司

测试

快手开源LivePortrait,实现表情姿态极速迁移,GitHub 6.5K Star

快手技术

人工智能 #开源 可灵 企业号2024年7月PK榜

持续开拓创新 天翼云TeleDB数据库斩获数据库最佳产品奖

极客天地

GitHub 增加 Dependabot 自动化安全 PR 和更多其它安全特性_语言 & 开发_Sergio De Simone_InfoQ精选文章