Esta semana, representantes do GitHub anunciou imediatamente um número de inovação, incluindo o fato de que GitHub completou a certificação como um Numeração Autoridade CVE, a empresa agora pode atribuir de forma independente identificadores CVE para vulnerabilidades.
Fprimeiro, Gráfico de dependência adicionará suporte para projetos PHP em Compositor. Isso significa que os usuários poderão receber avisos de segurança automáticos por quaisquer vulnerabilidades que surjam nas dependências de seus projetos PHP.Os desenvolvedores podem ver alertas de segurança em seus repositórios conforme o suporte ao gráfico de dependência é implementado. Quando houver uma vulnerabilidade publicada em qualquer uma das dependências do Composer que projeta listas no compositer.json e compositer.lock arquivos, O GitHub enviará um alerta, incluindo notificações por email ou web, dependendo das preferências do usuário.
Leia também: nova cyberminer de Rocke remove concorrentes e usa GitHub para se comunicar com C2
em segundo lugar, Microsoft adquirido o Pão ferramenta de análise de código (o valor da transação não foi divulgado). Está planejado para integrá-lo ao GitHub ao longo do tempo e depois usá-lo para melhorar o processo de verificação de vulnerabilidades. Lembre-se de que agora o Semmle já é usado pelo Google, Uber, NASA e Microsoft e muitos outros projetos de código aberto.
“O Semmle QL beneficia desenvolvedores e mantenedores. Possui uma biblioteca de milhares de consultas, tudo de código aberto, que foram definidos por alguns dos melhores pesquisadores de segurança do setor ", - relatado no GitHub.
Em terceiro lugar, esta semana GitHub certificação concluída Como um Autoridade de numeração do CVE, Isso é, agora a empresa poderá atribuir identificadores CVE independentemente a vulnerabilidades.
"Acreditamos que rápido, O movimento irrestrito de dados de vulnerabilidade é fundamental para melhorar a segurança do software. É por isso que estamos animados em compartilhar que o GitHub foi aprovado como uma autoridade de numeração CVE para projetos de código aberto. Poderemos emitir CVEs para avisos de segurança abertos no GitHub, permitindo uma conscientização ainda mais ampla em todo o setor ", - relataram especialistas do GitHub.
A autoridade do GitHub se estenderá apenas aos projetos de código aberto hospedados na plataforma, mas isso significa que as vulnerabilidades no rastreador de erros receberão identificadores de CVE muito mais rapidamente, pois os proprietários do projeto poderão solicitar um CVE do GitHub, ignorando o processo demorado de entrar em contato e aprovar o bug no MITRE.
