Nul
Kode hosting service GitHub har opdateret sin platform i denne uge, og blandt de mange udvikler-centreret ændringer, virksomheden har også rullet ud i tre nye sikkerhedselementer til projekt-ejere.
De vigtigste af disse nye sikkerhedsmæssige forbedringer er en udvidelse af den sikkerhedsadvarsler-funktionen, som nu også understøtter Java .NET-projekter, på toppen af den oprindelige JavaScript, Ruby og Python.
GitHub lanceret denne funktion sidste år, og det virker ved at scanne et projekt afhængigheder for forældede biblioteker og moduler, som kendte sårbarheder findes.
Hvis GitHub scanner finder, at en udvikler har brugt et gammelt bibliotek, der er påvirket af en kendt sikkerhed fejl, og det vil vise eller sende en alarm, og opfordre bygherren til at opdatere sit projekt afhængigheder.
GitHub lanceret denne funktion til stor succes i November 2017 til JavaScript og Ruby projekter, og senere blev det til Python-projekter i juli 2018.
Industri eksperter forudset, at GitHub ville udvide support for Java –en af de mest anvendte programmeringssprog takket være den succes, Android OS– og .NET –forventes flytter sig, efter at Microsoft købte GitHub tidligere i år.
Som standard, GitHub vil scanne manifest-filer såsom pakke.json (JavaScript projekter), gemfiles (for Ruby projekter), requirements.txt eller Pipfile.lås (for Python-projekter), pom.xml (for Java-projekter), og en af de mange .NET manifest-filer, såsom app.manifest-projektet.json, .csproj filer, og .MSBuild-filer –så sørg for, at dit projekt bruger et.
Sikkerhedsadvarsler funktion er tilgængelig for alle brugere, og de kan finde det i hvert GitHub-projektet ‘ s “Indsigt” under fanen “Alert” valgmulighed.
Billede: GitHub
I tilfælde af udviklere administrere et stort antal projekter og ikke har tid til manuelt at besøge de enkelte projekter GitHub side, GitHub også giver udviklere mulighed for at indstille forskellige anmeldelsen metoder såsom:
Et banner på GitHub interfaceWeb anmeldelser på GitHub domainEmail meddelelser for hver ny vulnerabilityDaily eller ugentlig e-mail fordøjer alle de nye sårbarheder
GitHub er sikkerhedsadvarsler systemet ikke er perfekt, så kan det kun opdage sårbarheder, der har modtaget et CVE-id, og er blevet indekseret i DHS ‘ s NVD portal. Nogle sårbarheder der forventes at glide gennem revner, men GitHub ‘ s alarmer-systemet har allerede vist sig at være meget effektiv.
I et blog-indlæg i Marts, GitHub sagde, at der inden for en måned efter lanceringen sidste år, udviklere handlede om sikkerhed, advarsler og fjernet 450,000 sårbarheder i forbindelse med deres projekter.
Men den udvidede sikkerhed indberetninger ikke var den eneste sikkerhed-tema opdateringer, der GitHub annonceret. Virksomheden har også rullet ud i noget, der hedder GitHub Token Scanning.
Dette nye værktøj er stadig i beta. GitHub siger Token Scanning vil hjælpe vedligeholdere af offentlig kode repositories. Værktøjet fungerer ved at scanne brugere ” offentlig kildekode på jagt efter API eller andre autentificering tokens.
Disse tokens svarer til at efterlade en server password i koden, og GitHub planer om at advare brugerne, hvis de ved et uheld forlader man inde i deres projekter.
I øjeblikket, GitHub Token Scanning understøtter token formater for tjenester som Amazon Web Services (AWS), Azure, GitHub, Google Cloud, Slap, og Stripe.
Udover at advare brugeren om, GitHub siger, at denne nye service vil også gøre opmærksom på, udbyderen så godt, så de kan annullere eller tilbagekalde token for at forhindre misbrug.
Sidst, men ikke mindst, GitHub også annonceret Security Advisory API. Denne nye API vil give udviklere en API, der samler alle sikkerhedsrelaterede oplysninger til deres konti. Dette er ikke kun indeholder sikkerhedsadvarsler for sårbarheder i projektet afhængigheder, men også indberetninger for de konti, der bruger svage eller allerede kompromitteret, passwords, advarsler for forsøg på at bryde ind i en GitHub konto og meget mere.
API ‘ en er beregnet til udviklere, der administrerer et stort antal projekter, eller for virksomheder, der ønsker at sikre deres projekter og medarbejder adgang leve op til sin indre sikkerhed standarder.
Læsere, der er interesseret i at finde ud af mere om andre ændringer, der er foretaget til GitHub platform kan læse om, udvikler og business-relaterede opdateringer, her.
RELATEREDE DÆKNING:
Oracle lapper 301 sårbarheder, heraf 46 med et 9.8+ sikkerhedsklassifikation Efter to årtier med PHP, steder stadig afsløre følsomme oplysninger via debug modeChrome, Edge, IE, Firefox og Safari for at deaktivere TLS 1.0 og TLS 1.1 i 2020Microsoft JET sårbarhed stadig åben for angreb, på trods af de seneste patchtil Microsoft Windows nul-dags sårbarhed offentliggøres via Twitter TechRepublicDisse populære Android telefoner der kom med sårbarheder pre-installeret CNET
Relaterede Emner:
Virksomhedens Software
Sikkerhed-TV
Data Management
CXO
Datacentre
0