Noll
Kod webbhotell GitHub har uppdaterat sin plattform för denna vecka, och bland de många utvecklare-centrerad förändringar, företaget också rullat ut tre nya säkerhetsdetaljer för projektägarna.
Den viktigaste av dessa nya förbättringar av säkerhet, är utbyggnaden av Säkerhet Varningar har, som nu även har stöd för Java och .NET-projekt, på toppen av den ursprungliga JavaScript, Ruby och Python.
GitHub lanserade den här funktionen förra året, och det fungerar genom att skanna ett projekt beroenden för föråldrade bibliotek och moduler för kända sårbarheter som finns.
Om GitHub är scanner finner att en utvecklare har använt ett gammalt bibliotek som är drabbade av en känd säkerhet bugg, kommer det att visa eller skicka en varning och uppmanar utvecklare att uppdatera sitt projekt beroenden.
GitHub lanserade detta har till stor framgång i November 2017 för JavaScript och Ruby projekt och som senare utökades det till Python-projekt i juli 2018.
Experter från industrin räknar med att GitHub skulle utöka stödet för Java-en av de mest använda programmeringsspråk tack vare framgången för Android OS– och .NET –förväntas flytta efter att Microsoft köpte GitHub tidigare i år.
Som standard, GitHub kommer att skanna manifest-filer som paket.json (JavaScript projekt), gemfiles (för Ruby-projekt), requirements.txt eller Pipfile.lås (för Python-projekt), pom.xml (för Java-projekt), och en av de många .ÅRETS manifest-filer som app.manifestet, project.json, .csproj filer, och .MSBuild filer –så se till att era projekt använder ett.
Säkerhetsvarningar-funktionen är tillgänglig för alla användare, och de kan hitta det i varje GitHub projektet “Insikter” – fliken under “Varning” alternativet.
Bild: GitHub
I fallet utvecklare hantera ett stort antal projekt och inte har tid att manuellt besöka varje projekt GitHub-sida, GitHub också gör att utvecklare kan ställa in olika anmälan metoder såsom:
En banner i GitHub interfaceWeb anmälningar på GitHub domainEmail anmälningar för varje ny vulnerabilityDaily eller varje vecka e-post smälter av alla nya sårbarheter
GitHub är säkerhetsvarningar systemet inte är perfekt, eftersom det kan bara upptäcka sårbarheter som har fått ett CVE-id och har indexerats i DHS NVD-portalen. Vissa sårbarheter förväntas slinker igenom, men GitHub: s registreringar system har redan visat sig vara mycket effektiv.
I ett blogginlägg i Mars, GitHub sa att inom en månad efter lanseringen förra året, utvecklare handlat om säkerhetsvarningar och bort 450,000 sårbarheter från sina projekt.
Men den utökade säkerhets varningar var inte den enda säkerhet-tema uppdateringar som GitHub meddelade. Företaget rullade också något som kallas GitHub Token Skanning.
Detta nya verktyg är fortfarande i beta. GitHub säger Token Scanning kommer att hjälpa utvecklare av offentliga kod förråd. Verktyget fungerar genom att skanna användarna’ offentlig källkod i sök-API eller andra authentication tokens.
Dessa värden är motsvarande lämnar ett lösenord för servern i koden, och GitHub planer på att varna användare om de av misstag lämna en inne i deras projekt.
För närvarande, GitHub Token Scanning stödjer token-format för tjänster som Amazon Web Services (AWS), Azure, GitHub, Google Cloud, Slack, och Rand.
Förutom att varna användaren, GitHub, säger den nya tjänsten kommer också att meddela leverantören samt, så att de kan upphäva eller återkalla ett token för att förhindra missbruk.
Sist men inte minst, GitHub meddelade också säkerhetsmeddelande API. Detta nya API som kommer att ge utvecklare med ett API som aggregat alla säkerhetsrelaterade uppgifter som för deras konton. Detta omfattar inte bara säkerhetsvarningar för sårbarheter i projektet beroenden, men också varningar för konton som använder svaga eller redan äventyras lösenord, varningar för försök att bryta sig in i ett GitHub-konto, och mer.
API: n är avsedda för utvecklare att hantera ett stort antal projekt eller för företag som vill se till att deras projekt och medarbetare tillgång leva upp till sitt inre säkerhet.
Läsare som är intresserade av att ta reda på mer om de övriga ändringar som görs i GitHub plattform kan läsa om utvecklare och business-relaterade uppdateringar här.
RELATERADE TÄCKNING:
Oracle fläckar 301 sårbarheter, inklusive 46 med en 9.8+ risknivå Efter två decennier av PHP-webbplatser fortfarande exponera känslig information via debug-lägeChrome, Edge, IE, Firefox och Safari för att inaktivera TLS 1.0 och TLS 1.1 år 2020Microsoft JET sårbarhet fortfarande öppen för angrepp, trots den senaste tidens patchMicrosoft Windows noll-dag sårbarhet lämnas ut via Twitter TechRepublicDessa populära Android-telefoner kom med sårbarheter förinstallerade CNET
Relaterade Ämnen:
Affärssystem
Säkerhet-TV
Hantering Av Data
CXO
Datacenter
0