Code hosting website GitHub heeft vandaag aangekondigd plannen om ondersteuning toe te voegen voor een diagram voor de Componist op basis van PHP projecten.
Sinds de Dependency Graph functie is verweven met de veiligheidswaarschuwingen (Kwetsbaarheid Waarschuwingen) – functie, dit betekent ook GitHub gebruikers zullen ook in aanmerking komen voor automatische beveiliging waarschuwingen voor eventuele beveiligingsproblemen die opduiken in de afhankelijkheden van hun PHP projecten.
Hoe de Beveiliging werkt Waarschuwingen
De veiligheidswaarschuwingen functie is een van GitHub meest nuttige diensten. Het werkt door het (GitHub) het scannen van de “dependency tree” (gegenereerd door de Afhankelijkheid Grafiek van de functie) voor een gebruiker project.
De scanner kijkt naar de afhankelijkheid van de naam en het versienummer en vergelijkt het met een lijst van bekende kwetsbaarheden die GitHub zwembaden van verschillende bronnen.
Als GitHub vindt een kwetsbaarheid in een van de afhankelijkheden, de veiligheidswaarschuwingen functie waarschuwt de eigenaar van het project door middel van verschillende methoden, zoals:
Een banner in de GitHub interfaceWeb meldingen op de GitHub domainEmail meldingen voor elke nieuwe vulnerabilityDaily of wekelijks een e-mail digest van alle nieuwe kwetsbaarheden
GitHub gestart met de Veiligheid van de functie Waarschuwingen tot een groot succes in November 2017 voor JavaScript en Ruby projecten en later uitgebreid naar Python projecten in juli 2018. In oktober 2018, een uitbreiding van de functie verder naar Java en .NET-projecten.
PHP ondersteuning had al lang aan te komen, omdat PHP is een populaire programmeertaal voor GitHub gehost projecten voor de jaren, de ranglijst van de derde en de vierde in de afgelopen jaren.
Afbeelding: GitHub
Maar de Afhankelijkheid Grafiek en de Veiligheid Waarschuwingen-functie werkt niet voor alle PHP projecten. Het zal alleen werken voor PHP projecten gecodeerd zijn om te werken met Componist projecten. De componist is een package manager voor het automatisch importeren van PHP libraries in een PHP-project.
Na vandaag aankondigingen, de huidige steun voor de Afhankelijkheid Grafiek en geïntegreerde Security Alerts functie is als volgt:
| Maven | Java, Scala | pom.xml | pom.xml |
| npm | JavaScript | pakket-lock.json | pakket-lock.json, – pakket.json |
| Garen | JavaScript | garen.slot | package.json, garen.slot |
| Nuget | .NETTO talen (C#, C++, F#, VB) | .csproj, .vbproj, .nuspec, .vcxproj, .fsproj | .csproj, .vbproj, .nuspec, .vcxproj, .fsproj, pakketten.config |
| Python PIP | Python | requirements.txt, pipfile.slot | requirements.txt, pipfile.lock, setup.py* |
| RubyGems | Ruby | Gemfile.slot | Gemfile.lock,Gemfile, *.gemspec |
| Componist | PHP | componist.slot | componist.json, componist.slot |
GitHub gebruikers die wilt inschakelen Afhankelijkheid Grafiek en beveiligingswaarschuwingen voor hun repo ‘ s kunt vinden, meer info hier.
GitHub koopt Semmle en wordt een CVE CNA
In andere GitHub nieuws, de Microsoft-eigendom code-hosting site kondigde ook een nieuwe speelgoed vandaag de dag, met de overname van Semmle, een security analyse platform.
In een lange post, Microsoft zei dat het van plan om te gebruiken Semmle de code scannen functies te verbeteren GitHub is vulnerability scanning proces.
Daarnaast GitHub kondigde vandaag ook aan dat het ontvangen van een certificering als een CVE-Nummering Autoriteit (CNA), wat betekent dat GitHub staat zal zijn om automatisch toewijzen CVE-nummers — id ‘ s voor beveiligingsfouten — op zijn eigen.
Dit certificaat is alleen geldig voor een open source-projecten gehost op het platform, wat betekent dat bugs gerapporteerd op een open source-project bug tracker ontvangt een CVE identificatie veel sneller, als de eigenaar van het project, kunnen op aanvraag een CVE van GitHub, dan gaan door de drukke en tijdrovende proces van goedkeuring over bij VERSTEK.
GitHub is nu een CVE-Nummering Autoriteit (CNA) 🎉
Openbaar maken van kwetsbaarheden, alert ontwikkelaars, en voorzien van updates binnen GitHub. Binnenkort!
— GitHub (@github) 18 September 2019
Ontwikkelaar
Google: Dart 2.5 programmeertaal SDK ‘boost’ – ontwikkelaars
COBOL wordt 60: Waarom het zal ons overleven alle
Programmeertaal populariteit: Python verstevigt zijn greep op de top
Hoe Shopify denkt dat door het opbouwen van een ontwikkelaar base en e-commerce (ZDNet YouTube)
Software ontwikkeling tops lijst van meest gevraagde technische vaardigheden (TechRepublic)
HarmonyOS: Wat is er met Huawei ‘ s Android-vervanging? (CNET)
Verwante Onderwerpen:
Open Source
Beveiliging TV
Data Management
CXO
Datacenters