Denne uka, representanter fra GitHub umiddelbart annonsert en rekke innovasjons, inkludert det faktum at GitHub har gjennomført sertifisering som CVE nummerering Authority, Selskapet kan nå uavhengig tildele CVE identifikatorer til sårbarheter.
First, avhengighet Graf vil legge støtte for PHP prosjekter på komponist. Dette betyr at brukerne vil kunne motta automatiske sikkerhetsadvarsler for eventuelle sårbarheter som oppstår i avhengighetene sine PHP-prosjekter.Utviklere kan se sikkerhetsvarsler på depotene som avhengighet graf støtte ruller ut. Når det er en publisert sårbarhet på noen av komponisten avhengig at prosjekter lister i composer.json Og composer.lock filer, GitHub vil sende et varsel inkludert e-post eller web-varslinger, avhengig av brukerens preferanser.
Les også: Rocke nye cyberminer fjerner konkurrenter og bruker GitHub for å kommunisere med C2
for det andre, Microsoft ervervet De Semmle kodeanalyse verktøy (mengden av transaksjonen ikke ble avslørt). Det er planlagt å integrere den med GitHub over tid og deretter bruke den til å forbedre sårbarhet skanneprosessen. Husk at nå Semmle allerede brukes av Google, uber, NASA og Microsoft og mange andre åpen kildekode-prosjekter.
“Semmle QL kommer både utviklere og vedlikeholdere. Den har et bibliotek med tusenvis av spørsmål, all åpen kildekode, som er definert av noen av bransjens beste sikkerhetsforskere”, - rapporterte i GitHub.
For det tredje, denne uken GitHub fullført sertifisering som en CVE Nummerering Authority, Det er, Nå vil selskapet være i stand til selvstendig tildele CVE identifikatorer til sårbarheter.
“Vi tror at rask, uhemmet bevegelse sikkerhetsproblem data som er avgjørende for å forbedre sikkerheten programvare. Det er derfor vi er glade for å dele denne GitHub er godkjent som en CVE nummerering Authority for åpen kildekode-prosjekter. Vi vil være i stand til å utstede CVEs for sikkerhetsråd åpnet på GitHub, noe som åpner for enda bredere forståelse på tvers av bransjen”, - rapportert GitHub spesialister.
GitHub autoritet vil utvide bare å åpne kildekode-prosjekter vert på plattformen, men dette betyr at sårbarheter i bug tracker vil motta CVE identifikatorer mye raskere, siden prosjekteiere vil være i stand til å be om et CVE fra GitHub, utenom den tidkrevende prosessen med å kontakte og å godkjenne feil i MITRE.
