Deze week, vertegenwoordigers van GitHub kondigde onmiddellijk aan een aantal innovatie, waaronder het feit dat GitHub certificering heeft voltooid als een CVE Numbering Authority, het bedrijf kan nu zelfstandig CVE-id's om kwetsbaarheden te wijzen.
FIRST, Dependency Graph zal toevoegen ondersteuning voor PHP projecten Componist. Dit betekent dat de gebruikers in staat om automatische beveiligingswaarschuwingen ontvangen voor alle kwetsbaarheden die zich voordoen in de bijgebouwen van hun PHP projecten zal zijn.Ontwikkelaars kunnen beveiligingswaarschuwingen zien op je repositories als dependency graph support rolt. Wanneer er een gepubliceerde kwetsbaarheid op een van de Composer afhankelijkheden die lijsten projecten in composer.json En composer.lock bestanden, GitHub zal een waarschuwing te sturen zoals e-mail of het web meldingen, afhankelijk van de voorkeuren van de gebruiker.
ten tweede, Microsoft verworven De Semmle code analyse tool (het bedrag van de transactie bekendgemaakt). Het is de bedoeling om te integreren met GitHub tijd en vervolgens gebruikt om de kwetsbaarheid scanproces verbeteren. Bedenk dat nu Semmle wordt al gebruikt door Google, Uber, NASA en Microsoft en vele andere open source projecten.
“Semmle QL komt zowel ontwikkelaars en beheerders. Het heeft een bibliotheek van duizenden queries, alle open source, die zijn gedefinieerd door een aantal van de bedrijfstak van de beste security onderzoekers”, - gerapporteerd in GitHub.
Ten derde, deze week GitHub afgerond certificering als een CVE Numbering Authority, Dat is, Nu zal het bedrijf in staat zijn zelfstandig toewijzen CVE identifiers om kwetsbaarheden.
“Wij geloven dat een snelle, onbelemmerde beweging van de kwetsbaarheid van data is van cruciaal belang voor de verbetering van software security. Dit is de reden waarom we zijn verheugd om te delen dat GitHub is goedgekeurd als een CVE Nummering Autoriteit open source projecten. We zullen in staat zijn om CVE's uit te geven voor beveiligingswaarschuwingen op GitHub geopend, waardoor er een nog bredere bekendheid in de branche”, - gemeld GitHub specialisten.
GitHub gezag alleen uit te breiden tot source projecten gehost op het platform te openen, Maar dit betekent dat kwetsbaarheden in de bug tracker CVE-ID's veel sneller zal ontvangen, sinds project eigenaren in staat om een CVE van GitHub verzoek zal worden, omzeilen van het tijdrovende proces van het in contact en goedkeuring van de bug in MITRE.
