Nul
Code hosting service GitHub heeft een update van het platform deze week, en onder de vele developer-centric veranderingen, het bedrijf heeft ook uitgerold drie nieuwe beveiligingsfuncties voor het project eigenaren.
De meest belangrijke van deze nieuwe verbeteringen van de beveiliging is de uitbreiding van de Beveiliging van de functie Waarschuwingen, die nu ook ondersteuning biedt voor Java-en .NET-projecten, op de top van de originele JavaScript, Ruby en Python.
GitHub lanceerde deze zijn voorzien van vorig jaar, en het werkt door het scannen van een project afhankelijkheden voor verouderde bibliotheken en modules voor die bekende kwetsbaarheden bestaan.
Als GitHub de scanner die een ontwikkelaar heeft gebruik gemaakt van een oude bibliotheek, die is getroffen door een bekende security bug, zal blijken of het sturen van een waarschuwing, waarin de ontwikkelaar de update project afhankelijkheden.
GitHub lanceerde deze functie tot een groot succes in November 2017 voor JavaScript en Ruby projecten en later uitgebreid naar Python projecten in juli 2018.
Experts uit de industrie verwacht dat GitHub zou uitbreiden ondersteuning voor Java-één van de meest gebruikte programmeertalen dankzij het succes van de Android-OS– en .De NETTO –verwacht verplaatsen nadat Microsoft kocht GitHub eerder dit jaar.
Standaard zal GitHub scan manifest-bestanden, zoals het pakket.json (JavaScript projecten), gemfiles (voor Ruby projecten), requirements.txt of Pipfile.slot (voor Python projecten), pom.xml (voor Java-projecten), en één van de vele .NETTO manifest-bestanden, zoals de app.manifest project.json, .csproj bestanden, en .MSBuild bestanden, dus zorg ervoor dat uw project gebruikt.
De veiligheidswaarschuwingen functie is beschikbaar voor alle gebruikers, en ze vinden het in elk GitHub project “Inzichten” tabblad onder het “Alarm” optie.

Afbeelding: GitHub
In het geval dat ontwikkelaars het beheren van een groot aantal projecten en hebben niet de tijd om handmatig te bezoeken elk project op GitHub pagina, GitHub ook kunnen ontwikkelaars verschillende kennisgeving methoden, zoals:
Een banner in de GitHub interfaceWeb meldingen op de GitHub domainEmail meldingen voor elke nieuwe vulnerabilityDaily of wekelijks een e-mail digest van alle nieuwe kwetsbaarheden
GitHub is veiligheid waarschuwingen het systeem is niet perfect, als het kan alleen kwetsbaarheden op te sporen die het hebben ontvangen van een CVE identificatie en zijn geïndexeerd in de DHS van de NVD portal. Een aantal kwetsbaarheden worden verwacht te glippen door de mazen, maar GitHub de waarschuwingen van het systeem heeft zich al bewezen zeer effectief te zijn.
In een blogbericht in Maart, GitHub gezegd dat binnen een maand na de lancering vorig jaar, ontwikkelaars gehandeld op beveiligingswaarschuwingen en verwijderd van 450.000 kwetsbaarheden van hun projecten.
Maar de uitgebreide beveiliging waarschuwingen waren niet de enige security-thema-updates die GitHub aangekondigd. Het bedrijf heeft ook uitgerold iets genaamd GitHub Token Scannen.
Deze nieuwe tool is nog in beta. GitHub zegt Token Scannen zal helpen beheerders van openbare code repositories. De tool werkt door het scannen van de gebruikers van de openbare broncode op zoek naar API of andere authenticatie tokens.
Deze lopers zijn het equivalent van het verlaten van een server wachtwoord in in het code, en GitHub plannen om gebruikers te waarschuwen als ze het per ongeluk laten in hun projecten.
Momenteel, GitHub-Token Scannen ondersteunt token formaten voor diensten zoals Amazon Web Services (AWS), Azure, GitHub, Google Cloud, Slap, en de Streep.
Naast het waarschuwen van de gebruiker, GitHub, zegt deze nieuwe dienst zal ook een melding van de provider, zodat ze kunnen vervallen of intrekken van de token om misbruik te voorkomen.
Laatste maar niet de minste, GitHub ook aangekondigd dat de Security Advisory API. Deze nieuwe API zal geven ontwikkelaars met een API die aggregaten alle beveiliging gerelateerde informatie voor hun rekening. Dit omvat niet alleen de veiligheid waarschuwt voor beveiligingsproblemen in de project afhankelijkheden, maar ook waarschuwingen voor accounts die gebruikmaken van zwakke of reeds aangetast wachtwoorden, waarschuwt voor pogingen om in te breken in een GitHub-account en meer.
De API is bedoeld voor ontwikkelaars die het beheer van een groot aantal projecten of voor bedrijven die willen ervoor zorgen dat hun projecten en de werknemer de toegang tot z ‘ interne normen voor de beveiliging.
Lezers die geïnteresseerd zijn in het vinden van meer informatie over de andere wijzigingen in de GitHub-platform kunt lezen over de developer en business-gerelateerde updates, hier.
VERWANTE DEKKING:
Oracle patches 301 kwetsbaarheden, waarvan 46 met een 9.8+ prioriteitsniveau Na twee decennia van PHP, sites nog steeds gevoelige informatie via de debug modeChrome Rand, IE, Firefox en Safari uit te schakelen TLS 1.0 en TLS 1.1 in 2020Microsoft JET kwetsbaarheid nog steeds open voor aanvallen ondanks een recente patch voorMicrosoft Windows zero-day kwetsbaarheid bekendgemaakt via Twitter TechRepublicDeze populaire Android-telefoons kwam met kwetsbaarheden pre-geïnstalleerd CNET
Verwante Onderwerpen:
Enterprise Software
Beveiliging TV
Data Management
CXO
Datacenters
0