首页 > 其他分享 >为提高 SDLC 安全,GitHub 发布新功能|GitHub Universe 2022

为提高 SDLC 安全,GitHub 发布新功能|GitHub Universe 2022

时间:2022-11-14 10:34:49浏览次数:57  
标签:GitHub CodeQL 开发人员 Universe 安全 开源 2022 漏洞

GitHub Universe 2022于上周举办。在此次大会上,Github 公布了开源软件状态的最新报告,报告中的统计数据显示,90% 的公司都在使用开源,现在 GitHub 上有9400万用户,2022 年有高达4.13亿次开源贡献
 

如今世界正运行在开源之上,软件供应链已然成为当今最大的攻击媒介之一。如果不深入了解软件代码,企业可能永远无法知晓依赖项中所藏匿的漏洞。在之前的报告解读中,我们曾提及企业在软件供应链安全所面临的风险与挑战,同时也了解到三年内对开源存储库的攻击增加了742%
 

为了帮助用户及企业保护软件开发生命周期(SDLC)的安全,GitHub 于11月9日在其平台上宣布了新的安全功能。其中包括私有漏洞报告、对 Ruby 编程语言的 CodeQL 漏洞扫描支持以及两个新的安全概述选项。GitHub 表示,这些更新将使开发人员能够更轻松、更无缝地保护 SDLC。
 

GitHub 推出私人漏洞报告

GitHub Universe 2022 是一个面向云、安全、社区和 AI 的全球开发者的大型活动。在此次大会上,GitHub 宣布了全新功能。第一个是私人漏洞报告,该漏洞报告旨在尽量减少使用不一致,且可能不安全的公共渠道向维护者报告漏洞,这样的私人漏洞报告安全性更高,更值得信赖。GitHub 认为,通过公开途径披露,恶意攻击者很有可能在维护者修复漏洞之前抢先利用,这在很大程度上造成了安全风险。而私人漏洞报告,是安全研究人员和开源维护者的协作解决方案,用于报告和修复开源存储库中的漏洞,为用户提供了一种便捷、标准化且私密的方式来报告、评估和解决漏洞。
 

另一个新的安全功能则是对 Ruby 编程语言的 CodeQL 支持,现在在默认情况下在 GitHub.com 代码扫描、CodeQL CLI 和 VS Code 的 CodeQL 扩展中普遍可用。GitHub 表示,添加此新功能能够使 CodeQL 用户可以轻松地在 GitHub 内查找、识别和修复其 Ruby 代码库中的漏洞。为了标记新功能,GitHub 安全实验室漏洞赏金计划将为前 10 个 CodeQL 查询提供 2000 美元的奖金,以测试用 Ruby 编写的得分高或关键的开源项目。
 

GitHub 还表示,他们添加了两个新视图选项,这能够为企业用户提供对其整个应用程序环境安全范围和风险映射的更大可见性和洞察力,帮助企业用户更好地了解补救工作的重点,在风险发生时将影响和损失降到最低。
 

为开发人员量身定制 SDLC 安全工具

GitHub 表示,软件中的大多数漏洞都是简单错误的结果,开发人员很难发现这些漏洞。而 GitHub 作为世界上最大的代码托管网站和开源社区,可以为超过9400万开发人员提供以开发人员为中心的安全工具,这些安全工具涵盖了三个最常见的漏洞来源:开发人员编写的代码、依赖的开源代码以及保护安全的凭据的系统。GitHub 的产品负责人补充说,和其他有合作的公司的开发团队相比,GitHub 的安全团队的人数通常以100 比1的比例远超过其他公司,这也说明 GitHub 一直在投入大量的资源来努力寻找并修复其产品中的所有漏洞。凭借庞大的用户群体,GitHub 拥有得天独厚的机会,可以通过开发为开发人员量身定制的安全功能来提高整个行业的安全性。
 

开发人员接受并使用 DevSecOps 安全工具,对于应用程序安全实践来说至关重要。如果 GitHub 能够在设计 DevSecOps 工具的时,充分考虑到开发人员和 DevOps 的工作流程和需求,同时将这些安全功能推广到开发人员在进行开发工作时能够触手可及,使用这些功能不会增加不必要的摩擦,并且可以让部署变得更加容易,那么开发人员将会更加乐意切开发地使用这些工具。虽然这些工具和实践无法完完全全解决开源安全的问题,但是能够让企业使用的开源组件更加安全。

标签:GitHub,CodeQL,开发人员,Universe,安全,开源,2022,漏洞
From: https://www.cnblogs.com/sealio/p/16888207.html

相关文章

  • 【杂谈】CSP-S 2022 退役寄
    考前考前一直都很懒,所以没有记录每天的详细情况,只能把大概的写出来了吧。考前大部分情况处于一种期中考+CSP的双重焦虑下,但最后一周莫名其妙开始躺平,也就没了这种紧迫感......
  • Xmind 2022 for Mac(思维导图软件)中文版mac/win
    Xmind2022forMac是一款全功能的思维导图软件,拥有专业实用的功能,包括思维管理、商务演示、与办公软件协同工作等功能,让您的办公更有效,还加入了演讲模式,在演说模式可自动......
  • 2022ICPC西安 游记
    离散课上闲来无事谢谢游记...吧游个锤子呀,还是熟悉的305一开始看L,感觉不像签到,去看J,瞪了半天没看出来,把题意给Leven一讲,Leven没多久就发现了最多选两个数,啊这。然后打了......
  • 使用git命令上传项目到GitHub
    一、前提1、已有GitHub账号2、电脑已安装Git3、本人已上传过项目,未使用过的请参考其他的上传项目的方法二、上传项目到GitHub的相关操作1、点击Newrepository创建仓......
  • 【2022.11.14】pytorch的使用相关(二)
    【2022.11.04】pytorch的初始化前言参考代码来自于:Fafa-DL/Lhy_Machine_Learning:李宏毅2021春季机器学习课程课件及作业(github.com)数据集来自于:https://github.com......
  • 2022-2023-1 20221326《计算机基础与程序设计》第十一周学习总结
    班级链接:https://edu.cnblogs.com/campus/besti/2022-2023-1-CFAP作业要求:https://www.cnblogs.com/rocedu/p/9577842.html#WEEK11作业目标:计算机网络、网络拓扑、云计算、......
  • 一年一度!GitHub 开发者大会「GitHub 热点速递 v.22.45」
    GitHub是全球最大的开源社区,它的一举一动都深受每一位开源爱好者的关注。这周末刚落下帷幕的《GitHubUniverse2022》是GitHub发布最新产品、功能、报告和计划的一场......
  • 2022NOIPA层联测27
    感觉再这么成天咕下去不太好…… A.天平没有观察到只需要使得选出的砝码质量的gcd与所有砝码的fcd相等即可,但是发现应该让选出的砝码的gcd取到最小值。我想找到最小......
  • 在Windows平台使用Visual C++ 2022编译QT6源码
    在Windows平台使用VisualC++2022编译QT6源码目录在Windows平台使用VisualC++2022编译QT6源码0.引言1.准备工作2.配置3.编译和安装0.引言如果您想......
  • IDEA使用.创建多级文件夹失效(2022.1.3汉化)
    【注:这是2022.1.3汉化之后的版本对应的位置】【更早写的可参考:(200条消息)IDEA创建多级文件夹_Sentimentsans的博客-CSDN博客】 ......