Diese Woche, Vertreter von GitHub kündigte umgehend eine Reihe von Innovationen, einschließlich der Tatsache, dass GitHub Zertifizierung als CVE Numbering Authority abgeschlossen, das Unternehmen kann nun unabhängig CVE Identifikatoren Schwachstellen zuweisen.
Fzuerst, Abhängigkeitsdiagramm werde hinzufügen Unterstützung für PHP-Projekte am Komponist. Dies bedeutet, dass Benutzer automatische Sicherheitswarnungen für alle Schwachstellen erhalten können, die in den Abhängigkeiten ihrer PHP-Projekte auftreten.Entwickler können Sicherheitswarnungen in Ihren Repositorys anzeigen, wenn die Unterstützung für Abhängigkeitsdiagramme eingeführt wird. Wenn eine veröffentlichte Sicherheitsanfälligkeit für eine der Composer-Abhängigkeiten vorliegt, in denen Projekte aufgelistet sind composer.json und composer.lock Dateien, GitHub sendet eine Benachrichtigung mit E-Mail- oder Webbenachrichtigungen, abhängig von den Vorlieben des Benutzers.
lesen Sie auch: Rocke Der neue cyberminer entfernt Wettbewerber und nutzt GitHub mit C2 zu kommunizieren
Zweitens, Microsoft erworben Das Semmle Code-Analyse-Tool (Der Betrag der Transaktion wurde nicht bekannt gegeben). Es ist geplant, es im Laufe der Zeit in GitHub zu integrieren und es dann zu verwenden, um den Schwachstellen-Scan-Prozess zu verbessern. Denken Sie daran, dass Semmle bereits von Google verwendet wird, Uber, NASA und Microsoft und viele andere Open Source-Projekte.
„Semmle QL kommt sowohl Entwicklern als auch Betreuern zugute. Es hat eine Bibliothek mit Tausenden von Abfragen, alles Open Source, die von einigen der besten Sicherheitsforscher der Branche definiert wurden “, - in GitHub gemeldet.
Drittens, diese Woche GitHub abgeschlossene Zertifizierung Als ein CVE-Nummerierungsbehörde, Das ist, Jetzt kann das Unternehmen Schwachstellen unabhängig CVE-Kennungen zuweisen.
„Wir glauben so schnell, Die uneingeschränkte Übertragung von Schwachstellendaten ist für die Verbesserung der Software-Sicherheit von entscheidender Bedeutung. Aus diesem Grund freuen wir uns, Ihnen mitteilen zu können, dass GitHub als CVE-Nummerierungsbehörde für Open Source-Projekte zugelassen wurde. Wir können CVEs für auf GitHub geöffnete Sicherheitshinweise ausgeben, ein noch breiteres Bewusstsein in der Branche ermöglichen “, - berichteten GitHub-Spezialisten.
Die Berechtigung von GitHub erstreckt sich nur auf Open Source-Projekte, die auf der Plattform gehostet werden, Dies bedeutet jedoch, dass Schwachstellen im Bug-Tracker viel schneller CVE-Kennungen erhalten, da Projektbesitzer bei CVHub einen CVE anfordern können, Umgehen des zeitaufwändigen Prozesses der Kontaktaufnahme und Genehmigung des Fehlers in MITRE.
