写点什么

GitHub 增加 Dependabot 自动化安全 PR 和更多其它安全特性

  • 2019-07-13
  • 本文字数:1026 字

    阅读完需:约 3 分钟

GitHub 增加 Dependabot 自动化安全 PR 和更多其它安全特性

GitHub 宣布增加一些新的特性,旨在帮助开发者保护其代码,包括能够针对需要为包含安全补丁而更新的依赖创建 PR,支持与 WhiteSource 数据集成,以增强漏洞评估和增进对依赖关系的理解。


GitHub 安全相关的特性基于的是漏洞报警,这些特性是在2017年推出的,其目的是在项目的依赖关系中发现任何漏洞时,及时向开发人员报警。根据 GitHub 自己提供的数据,尽管自那时起,其已提供了超过 2700 百万次安全报警,但是打补丁的过程经常仍然缓慢:


“虽然安全漏洞报警给用户提供了信息来保护其项目,行业数据显示,超过 70%的漏洞在被发现 30 天后仍然没有打补丁,甚至有些 1 年后都还没打补丁。”


GitHub 的数据与其他厂商的分析结果高度一致,这些分析均列出了开源社区要想改进其安全实践需要采取的行动


为了让项目维护人员更快和更便捷地给代码打补丁,GitHub前不久刚刚收购了Dependabot,并且宣布 Dependabot 免费。Dependabot 原先是GitHub集市上的一款付费服务,它能够扫描项目的依赖关系,发现其中的所有漏洞,并且自动为每一个漏洞创建 PR。这样一来,维护人员通过简单地合并这些 PR,就能够修补安全漏洞。


另外,为了帮助企业项目维护人员及时地审核项目的依赖关系和任何漏洞的暴露程度,GitHub 还推出了依赖关系洞察的特性。依赖关系洞察采用 GitHub 依赖关系图表,向开发者展示项目依赖关系状态的概况,包括公开安全公告、列出并检查项目的依赖关系,等等。


另外一个新特性是 GitHub 安全报警与开源安全平台WhiteSource的集成,这样做的目的在于为开发者提供更多有关已发现漏洞的数据。GitHub 称,该特性将扩大目前平台能够检测到的潜在漏洞的范围,并帮助开发者挑出更危险的漏洞,然后修补和上报这些漏洞。


最后一点,为了改善项目维护人员交换信息和讨论任何已发行的漏洞时的沟通,GitHub 现在还推出了一个名为维护人员安全通告的私人工作空间,以改善维护人员之间的交流,防止将敏感信息不慎泄露给黑客。另外,现在 GitHub 也支持显性设置与某个项目相关的安全策略,因此代码贡献人员能够知道他们怎样一种负责任上报漏洞方式

作者介绍

Sergio De Simone 是一位软件工程师。Sergio 担任软件工程师已经 15 多年了,曾工作于许多不同的项目和公司,包括西门子、惠普和一些小型创业公司。过去几年,他的工作重心一直是移动平台和相关技术的开发。他现在是 BigML 股份有限公司 iOS 和 OS X 开发总监。


原文链接:


GitHub Adds Dependabot Automated Security PRs and More Security-related Features


2019-07-13 08:002852
用户头像

发布了 34 篇内容, 共 19.3 次阅读, 收获喜欢 47 次。

关注

评论

发布
暂无评论
发现更多内容

TiDB生态新伙伴:Navicat正式支持TiDB

TiDB 社区干货传送门

管理与运维 应用适配

自动驾驶行业精英,正疯狂涌入具身智能赛道!

机器人头条

切入具身智能赛道,先从这篇文章开始!

机器人头条

强化学习 多模态模型 人形机器人 具身智能

深入探索 WebView与微信小程序测试的奥秘

测试人

软件测试

2024 最全 Java 面试八股文(整整 1685 页)

蓝蓝路

编程 程序员 java面试

HarmonyOS 5.0应用开发——Ability与Page数据传递

高心星

HarmonyOS ArkTS 鸿蒙Next

TiCDC 同步中断案例1 :修改时区后执行了受时区影响的 DDL 进而导致同步失败

TiDB 社区干货传送门

故障排查/诊断 6.x 实践

使用 Grafana 展示多个TiDB集群的告警

TiDB 社区干货传送门

监控 管理与运维

2024互联网大厂Java面试最常被问的1000道题目及参考答案

蓝蓝路

编程 计算机 java面试

电商API的测试与用途:深度解析与实践

科普小能手

电商 API 跨境电商 API 接口 API 测试

等保测评周期一般是多少?最长多久?

行云管家

网络安全 等保 等级保护 等保测评

区块链技术中的智能合约评审

北京木奇移动技术有限公司

区块链技术 智能合约开发 软件外包公司

面向 TiDB AI 学习 TiDB

TiDB 社区干货传送门

TiDB Vector

「英伟达」整合机器人零部件供应商,进军人形机器人整机制造!

机器人头条

英伟达 特斯拉 大模型 人形机器人 具身智能

ae 2020 mac版After Effects 2020 for Mac 中文激活版

iMac小白

HarmonyOS Web场景性能优化指导

HarmonyOS开发者

什么是前后端分离应用(Full-stack Separation),想当然就会理解错

EquatorCoco

前后端分离

聊点技术 | AI赋能:根因定位如何深入到SQL级别

博睿数据

《可观测性体系建设100问》第三章—可观测性平台能力构建与实施 重磅发布!

博睿数据

Vector Magic for mac(矢量图片转换工具)1.2.0免激活版

iMac小白

玉溪具有资质等保测评机构在哪里?电话多少?

行云管家

网络安全 等保 等保测评 玉溪

区块链智能合约开发的技术难点

北京木奇移动技术有限公司

区块链技术 智能合约开发 软件外包公司

杭州银行:分布式场景下快速构建数据模拟环境的探索与实践

TiDB 社区干货传送门

什么是二级域名?如何申请二级域名?

国科云

Lightning导入单个TB级CSV文件加速方案

TiDB 社区干货传送门

迁移 管理与运维 大数据场景实践 8.x 实践

原生APP外包开发的优势

北京木奇移动技术有限公司

软件外包公司 原生APP外包 原生APP开发

HTTP请求超时:底层机制与应对策略

代码忍者

完成的定义DoD与验收标准AC的区别

ShineScrum

TiDB数据库 最强SQL审核工具,求挑战

TiDB 社区干货传送门

性能测评 TiDB 源码解读 6.x 实践 TiDB Cloud TiDB Vector

具身智能领域,伯克利(UC Berkeley)归国四子

机器人头条

强化学习 大模型 人形机器人 具身智能

XMind Pro for mac (XMind思维导图)中文激活版

iMac小白

GitHub 增加 Dependabot 自动化安全 PR 和更多其它安全特性_语言 & 开发_Sergio De Simone_InfoQ精选文章