随着对Semmle的收购，GitHub宣布了一些改进，旨在使维护人员和开发人员更容易修复和防止漏洞。这包括创建安全警告并直接从GitHub UI分配CVE编号。

正如GitHub高级副总裁Niyogi Shanku所言，当项目维护者或任何具有存储库管理特权的人发现漏洞时，他们现在都可以创建一个安全警告草案，提供了一个私有区域来讨论和修复漏洞。对于任何类型的存储库，不管是私有的还是公开的，安全警告都是私有的，并且能够精细控制哪些协作者可以访问。

最重要的是，安全警告允许创建存储库的临时私有分支，使开发人员能够开发修复程序，而不必冒着事前将敏捷信息向外部人员提供的风险。要保证这一点，就不能通过持续集成任务或其他集成访问临时私有分支。

所有提到的特性都被分组在GitHub UI新增的Security选项卡下，包括创建安全警告、创建临时私有分支、创建pull请求，并将其合并到主分支中。

GitHub还宣布了一项重大的工作流改进，就是可以为GitHub上打开的安全警告发布CVE。为了实现这一点，GitHub已经成为开源项目的CVE编号授权机构。由Mitre公司运营的CVE提供了一种方法，可以惟一地指代与之相关的所有对话和交流中的漏洞。这使得尽早获得CVE非常有用，甚至在漏洞修复可用之前——这正是GitHub试图通过在GitHub UI中直接集成此功能来简化开发人员工作的地方。

这并不是GitHub第一次添加旨在帮助开发人员保护代码安全的特性。几个月前，GitHub推出了基于Dependabot的自动化安全PR，它可以扫描项目的所有依赖项，并自动提交PR来更新任何易受攻击的依赖项。在此之前，GitHub引入了漏洞警报，以警告开发人员在他们的项目依赖项中发现的任何已知漏洞。最后但并同样重要的是，GitHub还支持令牌扫描，以防止开发人员在推送到公共存储库时无意中共享令牌和加密密钥。

GitHub维护者安全警告目前处于公测阶段。

原文链接：

GitHub Improves Vulnerability Workflows and Becomes CVE Numbering Authority

创作场景

GitHub 改进漏洞工作流，加入 CVE 编号授权