Zero
Codice di servizi di hosting GitHub ha aggiornato la sua piattaforma di questa settimana, e tra le tante sviluppatore-centric modifiche, la società ha anche lanciato tre nuove funzioni di sicurezza per i proprietari di progetto.
Il più importante di questi nuovi miglioramenti di sicurezza è l’espansione di Avvisi di Sicurezza e funzionalità, che ora supporta anche Java e .I progetti in rete, al di sopra di JavaScript, Ruby e Python.
GitHub ha lanciato questa funzione lo scorso anno, e funziona attraverso la scansione di un progetto dipendenze superate le librerie e i moduli per i quali le vulnerabilità conosciute esiste.
Se GitHub scanner rileva che uno sviluppatore ha utilizzato una vecchia libreria che è affetto da un noto bug di sicurezza, non sarà possibile visualizzare o inviare un avviso, esortando gli sviluppatori ad aggiornare il suo progetto dipendenze.
GitHub ha lanciato questa caratteristica di grande successo nel mese di novembre 2017 per JavaScript e Ruby progetti e successivamente ampliato per Python progetti a luglio 2018.
Gli esperti del settore atteso che GitHub per espandere il supporto per Java –uno dei linguaggi di programmazione più usati grazie al successo del sistema operativo Android– e .NET –atteso movimento dopo che Microsoft ha acquistato GitHub all’inizio di quest’anno.
Per impostazione predefinita, GitHub effettuerà una scansione del file manifest, come pacchetto.json (JavaScript, progetti), gemfiles (per Ruby progetti), requirements.txt o Pipfile.blocco (per Python progetti), pom.xml Java per progetti), e uno dei tanti .NET file manifest come app.manifesto del progetto.json .csproj file, ed .MSBuild file, quindi assicuratevi che il vostro progetto si avvale di uno.
Gli avvisi di sicurezza funzione è disponibile per tutti gli utenti, e si può trovare in ogni GitHub del progetto “Approfondimenti” della scheda “Avviso” opzione.
Immagine: GitHub
Nel caso In cui gli sviluppatori di gestire un gran numero di progetti e di non avere il tempo manualmente visita di ogni progetto pagina di GitHub, GitHub, inoltre, consente agli sviluppatori di impostare diversi metodi di notifica come:
Un banner in GitHub interfaceWeb notifiche su GitHub, domainEmail le notifiche per ogni nuovo vulnerabilityDaily settimanali o e-mail digest di tutte le nuove vulnerabilità
GitHub avvisi di sicurezza del sistema non è perfetto, come si può solo rilevare le vulnerabilità che hanno ricevuto un identificatore CVE e sono state indicizzate in del DHS NVD portale. Alcune vulnerabilità sono tenuti a scivolare attraverso le fessure, ma GitHub avvisi di sistema ha già dimostrato di essere molto efficace.
In un post sul blog nel mese di Marzo, GitHub ha detto che entro un mese dal suo lancio lo scorso anno, gli sviluppatori agito sulla base di avvisi di sicurezza e rimosso 450,000 vulnerabilità dei loro progetti.
Ma la espanso avvisi di sicurezza non erano solo di sicurezza in tema di aggiornamenti che GitHub annunciato. La società ha anche lanciato qualcosa chiamato GitHub Token di Scansione.
Questo nuovo strumento è ancora in versione beta. GitHub dice Token Scansione aiutare i manutentori di pubblico repository di codice. Lo strumento funziona attraverso la scansione degli utenti di codice sorgente pubblico in cerca di API o di altri token di autenticazione.
Questi segnalini sono l’equivalente di lasciare una password per il server nel codice, e GitHub piani per avvisare gli utenti se accidentalmente lasciare all’interno dei loro progetti.
Attualmente, GitHub Token di Scansione, supporta formati di token per servizi come Amazon Web Services (AWS), Azure, GitHub, Google Cloud, il margine di flessibilità, e la Striscia.
Oltre alla segnalazione all’utente, GitHub dice che questo nuovo servizio sarà anche avvisare il fornitore, può annullare o revocare il token per prevenire gli abusi.
Ultimo ma non meno importante, GitHub, inoltre, annunciato il Security Advisory API. Questa nuova API fornisce agli sviluppatori un API che aggrega tutte le informazioni relative alla protezione per i loro conti. Questo include non solo gli avvisi di sicurezza per le vulnerabilità nelle dipendenze di progetto, ma anche gli avvisi per gli account che utilizzano deboli o già compromesse le password, gli avvisi per i tentativi di entrare in un account di GitHub, e di più.
L’API è inteso per gli sviluppatori che gestire un gran numero di progetti o per le aziende che vogliono assicurarsi che i loro progetti e l’accesso dei dipendenti vivere fino al suo interno norme di sicurezza.
I lettori che sono interessati a saperne di più circa le altre modifiche apportate alla piattaforma GitHub può leggere su di sviluppatore di business e relativi aggiornamenti, qui.
RELATIVI COPERTURA:
Oracle patch 301 vulnerabilità, di cui 46 con 9,8+ di gravità , Dopo due decenni di PHP, siti ancora esporre dati sensibili tramite la modalità di debugChrome, Edge, IE, Firefox e Safari, per disattivare TLS TLS 1.0 e 1.1 nel 2020Microsoft JET vulnerabilità ancora aperti agli attacchi, nonostante le recenti patchdi Microsoft Windows vulnerabilità zero-day diffusi attraverso Twitter TechRepublicQuesti popolari telefoni Android è venuto con vulnerabilità pre-installato CNET
Argomenti Correlati:
Enterprise Software
Di sicurezza, TV
La Gestione Dei Dati
CXO
Centri Dati
0