Denne uge, repræsentanter for GitHub straks annonceret en række innovation, herunder at GitHub har afsluttet certificering som et CVE Nummerering Authority, virksomheden kan nu uafhængigt tildele CVE-id'er til sårbarheder.
FFØRSTE, Afhængighed graf vil tilføje støtte til PHP projekter om komponist. Det betyder, at brugerne vil være i stand til at modtage advarsler automatiske sikkerhed for enhver sårbarheder, der opstår i de afhængigheder af deres PHP projekter.Udviklere kan se sikkerhedsadvarsler på dine depoter som afhængighed graf support ruller ud. Når der er en offentliggjort sårbarhed på nogen af de Komponist afhængigheder, at projekter lister i composer.json og composer.lock filer, GitHub vil sende en alarm herunder e-mail eller web-meddelelser, afhængig af brugerens præferencer.
Læs også: Rocke nye cyberminer fjerner konkurrenter og bruger GitHub til at kommunikere med C2
For det andet, Microsoft erhvervet Det Semmle kode analyseværktøj (mængden af transaktionen blev ikke videregives). Det er planen at integrere det med GitHub over tid og derefter bruge den til at forbedre den sårbarhed scanning proces. Husk på, at Semmle nu bruges allerede af Google, Uber, NASA og Microsoft og mange andre open source-projekter.
”Semmle QL gavn for både udviklere og vedligeholdere. Det har et bibliotek med tusindvis af forespørgsler, alle open source, der er blevet defineret af nogle af branchens bedste sikkerhedseksperter”, - rapporteret i GitHub.
For det tredje, denne uge GitHub afsluttet certificering som en CVE Nummerering Authority, Det er, nu selskabet vil være i stand uafhængigt tildele CVE-id'er til sårbarheder.
”Vi mener, at hurtig, uhindret bevægelse af sårbarhed data er afgørende for at forbedre software sikkerhed. Det er derfor, vi er glade for at dele denne GitHub er blevet godkendt som CVE Nummerering myndighed for open source-projekter. Vi vil være i stand til at udstede CVEs til sikkerhedsbulletiner åbnet på GitHub, giver mulighed for endnu bredere bevidsthed på tværs af branchen”, - rapporteret GitHub specialister.
GitHub autoritet vil kun forlænge til open source-projekter, der hostes på platformen, men det betyder, at sårbarheder i bug tracker modtager CVE-id'er meget hurtigere, da projektejere vil være i stand til at anmode om en CVE fra GitHub, uden om tidskrævende proces med kontakt og godkendelse af fejl i MITRE.
