A cél annak megakadályozása, hogy sebezhető kódok véletlenül kerüljenek a függőségekbe.
Biztonság
- A rendkívül biztonságos távoli dolgozók 8 szokása
- A kémprogramok megtalálása és eltávolítása a telefonról
- A legjobb VPN-szolgáltatások: Hogyan hasonlítható össze az első 5?
- Hogyan lehet kideríteni, hogy érintett-e adatvédelmi incidens – és mi a következő lépés
A GitHub a következő hetekben közzéteszi a fejlesztők számára a függőségi felülvizsgálatot, a lekérési kérések biztonsági értékelését.
LÁT: Ismerje meg a hackereket, akik milliókat keresnek az internet megmentéséért, egy-egy programhibával (címlapsztori PDF) (TechRepublic)
A nyílt forráskódú fejlesztői platform – mondta kedden a GitHub Universe konferencián, hogy a függőségi áttekintés egy olyan rendszer, amelynek célja, hogy segítse a véleményezőket és a közreműködőket megérteni a függőségi változásokat és biztonsági hatás minden lehívási kérésnél", és úgy lett kifejlesztve, hogy megpróbálja megakadályozni, hogy a sebezhető kód véletlenül új vagy frissített függőségekkel egyesüljön.
Hozzáadva a GitHubhoz útiterv ebben az évben az új eszköz áttekintést ad a fejlesztőknek arról, hogy mely függőségek kerülnek hozzáadásra vagy eltávolításra egy projekthez, mikor frissítették őket, hány másik projekt támaszkodik egy függőségre, és a kapcsolódó sebezhetőségi információk őket.
Lásd még: 2020 legnagyobb feltörései, adatszivárgásai
A függőségi áttekintés jelenleg béta állapotban van, és elérhető lesz a nyilvános adattárak és a speciális biztonságot nyújtó ügyfelek számára a GitHubon. Enterprise Cloud, amelynek bevezetése az elkövetkező hetekben várható. A funkció ingyenesen elérhető lesz a nyilvánosság számára adattárak.
Példa függőségi felülvizsgálati rekordra
A GitHub aktuális biztonsági ajánlatokat tartalmaz egy sebezhetőségi tanácsadó adatbázist, ideiglenes privát fork funkciókat a hibák kijavításához a nyilvánosságra hozatal előtt, dependabot riasztásokat és automatikus lekérési kéréseket a biztonsági frissítésekhez.
2020-ban a platform 56 millió fejlesztőt regisztrált, és 60 millió új adattárat hozott létre. A projektek több mint 90%-a nyílt forráskódú összetevőket használ, és átlagosan csaknem 700 függőséggel rendelkezik.
A GitHub kutatása szerint a sérülékenységek észrevétlenek maradhatnak legfeljebb négy évig nyílt forráskódú szoftverben. Bár a hibák többsége emberi tévedés, nem pedig rosszindulat eredménye, az összetevők sebezhetőségei széles körben használhatók. a harmadik felek szállítóival a lehető leggyorsabban foglalkozni kell – és minden olyan eszközzel megakadályozható, hogy függőségekbe kerüljenek értékes.
CNET: A hackerek a COVID-19 elleni vakcina bevezetése után készülnek
A szervezet egy csomó egyéb változást is felfedett, beleértve a GitHub Enterprise Server új buildjét, amelynek megjelenése december 16-án kezdődik. Az új GHES 3.0 kiadás jelöltje beépített CI/CD-t és automatizálási funkciókat fog tartalmazni a GitHub Actions and Package-en belül.
Ezenkívül a GHES 3.0 lehetővé teszi a vállalati ügyfelek számára, hogy automatizálják az Advanced Security funkciót, beleértve a kód- és titkos szkennelést (béta verzióban), a szerverek telepítése során.
A GitHub is bejelentette:
- Sötét mód: Ma elérhető a beállítások alatt
- Megbeszélések: Mostantól minden nyilvános adattárhoz elérhető
- Automatikus összevonási kérelmek: A következő hetekben bevezetésre kerülő engedélyezési beállítás lehetővé teszi a fejlesztők számára, hogy az ellenőrzések sikeres lekérése után engedélyezzék az automatikus lehívási kérelmek összevonását.
- Környezetek: A környezetek meghatározott titkokkal használhatók az alkalmazások és csomagok védelmére, a hónap későbbi részétől
- Munkafolyamat vizualizáció: A műveleti munkafolyamatok most grafikonokon is megjeleníthetők
- Mobil támogatás: A GitHub Enterprise Server mobil támogatásának béta verziója fejlesztés alatt áll.
TechRepublic: Az 5 legfontosabb ok, amiért ne használj SMS-t a többtényezős hitelesítéshez
Továbbá, GitHub szponzorok egyéni finanszírozásról a vállalkozásoktól származó befektetésekre bővült. A cég szerint a cégeknek szánt GitHub Sponsors lehetővé teszi a szervezetek számára, hogy a GitHub számlázáson keresztül "befektessenek azokhoz a nyílt forráskódú fejlesztőkbe és projektekbe, amelyektől függenek".
A vállalatok, köztük az AWS, az American Express, a Daimler és a Microsoft már feliratkoztak a nyílt forráskódú projektek pénzügyi támogatására.
Korábbi és kapcsolódó tudósítások
-
A 2020-as év legrosszabb kriptovaluta-sértései, lopásai és kilépési csalásai
-
Cybersecurity 101: Védje meg magánéletét a hackerektől, kémektől és a kormánytól
-
Az olasz rendőrség letartóztatta a Leonardo katonai, védelmi adatlopás gyanúsítottjait
Van tipped? Vegye fel a kapcsolatot biztonságosan a WhatsApp-on keresztül | Jelzés a +447713 025 499 számon vagy a Keybase-en: charlie0