为提高 SDLC 安全,GitHub 发布新功能|GitHub Universe 2022

提高,sdlc,安全,github,发布,功能,universe · 浏览次数 : 43

小编点评

## GitHub Universe 2022 的开源软件状态报告分析 **主要内容:** * GitHub 公布了开源软件状态的最新报告,显示 90% 的公司都在使用开源。 * 2022 年,GitHub 上有 9400 万用户,2022 年有高达 4.13亿次开源贡献。 * 针对软件供应链安全所面临的风险与挑战, GitHub 于 11 月 9 日宣布了新的安全功能。 * 新功能包括私有漏洞报告、对 Ruby 编程语言的 CodeQL 漏洞扫描支持以及两个新的安全概述选项。 **其他重要信息:** * GitHub Universe 2022 是面向云、安全、社区和 AI 的全球开发者的大型活动。 * 新功能是针对开发人员和企业提供以开发人员为中心的 SDLC 安全工具。 * 针对开发人员量身定制 SDLC 安全工具,GitHub 表示,软件中的大多数漏洞都是简单错误的结果,开发人员很难发现这些漏洞。 **总结:** GitHub 的开源软件状态报告显示开源已成为当今最大的攻击媒介之一,软件供应链的安全已经成为一个重大问题。 GitHub 的安全功能可以帮助企业和开发人员更好地保护软件生命周期。

正文

GitHub Universe 2022于上周举办。在此次大会上,Github 公布了开源软件状态的最新报告,报告中的统计数据显示,90% 的公司都在使用开源,现在 GitHub 上有9400万用户,2022 年有高达4.13亿次开源贡献
 

如今世界正运行在开源之上,软件供应链已然成为当今最大的攻击媒介之一。如果不深入了解软件代码,企业可能永远无法知晓依赖项中所藏匿的漏洞。在之前的报告解读中,我们曾提及企业在软件供应链安全所面临的风险与挑战,同时也了解到三年内对开源存储库的攻击增加了742%
 

为了帮助用户及企业保护软件开发生命周期(SDLC)的安全,GitHub 于11月9日在其平台上宣布了新的安全功能。其中包括私有漏洞报告、对 Ruby 编程语言的 CodeQL 漏洞扫描支持以及两个新的安全概述选项。GitHub 表示,这些更新将使开发人员能够更轻松、更无缝地保护 SDLC。
 

GitHub 推出私人漏洞报告

GitHub Universe 2022 是一个面向云、安全、社区和 AI 的全球开发者的大型活动。在此次大会上,GitHub 宣布了全新功能。第一个是私人漏洞报告,该漏洞报告旨在尽量减少使用不一致,且可能不安全的公共渠道向维护者报告漏洞,这样的私人漏洞报告安全性更高,更值得信赖。GitHub 认为,通过公开途径披露,恶意攻击者很有可能在维护者修复漏洞之前抢先利用,这在很大程度上造成了安全风险。而私人漏洞报告,是安全研究人员和开源维护者的协作解决方案,用于报告和修复开源存储库中的漏洞,为用户提供了一种便捷、标准化且私密的方式来报告、评估和解决漏洞。
 

另一个新的安全功能则是对 Ruby 编程语言的 CodeQL 支持,现在在默认情况下在 GitHub.com 代码扫描、CodeQL CLI 和 VS Code 的 CodeQL 扩展中普遍可用。GitHub 表示,添加此新功能能够使 CodeQL 用户可以轻松地在 GitHub 内查找、识别和修复其 Ruby 代码库中的漏洞。为了标记新功能,GitHub 安全实验室漏洞赏金计划将为前 10 个 CodeQL 查询提供 2000 美元的奖金,以测试用 Ruby 编写的得分高或关键的开源项目。
 

GitHub 还表示,他们添加了两个新视图选项,这能够为企业用户提供对其整个应用程序环境安全范围和风险映射的更大可见性和洞察力,帮助企业用户更好地了解补救工作的重点,在风险发生时将影响和损失降到最低。
 

为开发人员量身定制 SDLC 安全工具

GitHub 表示,软件中的大多数漏洞都是简单错误的结果,开发人员很难发现这些漏洞。而 GitHub 作为世界上最大的代码托管网站和开源社区,可以为超过9400万开发人员提供以开发人员为中心的安全工具,这些安全工具涵盖了三个最常见的漏洞来源:开发人员编写的代码、依赖的开源代码以及保护安全的凭据的系统。GitHub 的产品负责人补充说,和其他有合作的公司的开发团队相比,GitHub 的安全团队的人数通常以100 比1的比例远超过其他公司,这也说明 GitHub 一直在投入大量的资源来努力寻找并修复其产品中的所有漏洞。凭借庞大的用户群体,GitHub 拥有得天独厚的机会,可以通过开发为开发人员量身定制的安全功能来提高整个行业的安全性。
 

开发人员接受并使用 DevSecOps 安全工具,对于应用程序安全实践来说至关重要。如果 GitHub 能够在设计 DevSecOps 工具的时,充分考虑到开发人员和 DevOps 的工作流程和需求,同时将这些安全功能推广到开发人员在进行开发工作时能够触手可及,使用这些功能不会增加不必要的摩擦,并且可以让部署变得更加容易,那么开发人员将会更加乐意切开发地使用这些工具。虽然这些工具和实践无法完完全全解决开源安全的问题,但是能够让企业使用的开源组件更加安全。

与为提高 SDLC 安全,GitHub 发布新功能|GitHub Universe 2022相似的内容:

为提高 SDLC 安全,GitHub 发布新功能|GitHub Universe 2022

GitHub Universe 2022于上周举办。在此次大会上,Github 公布了开源软件状态的最新报告,报告中的统计数据显示,90% 的公司都在使用开源,现在 GitHub 上有9400万用户,2022 年有高达4.13亿次开源贡献。 如今世界正运行在开源之上,软件供应链已然成为当今最大的攻击

Cursor是什么?基于ChatGPT代码编辑器的cursor如何使用?VS Code如何迁移到Cursor的步骤

Cursor 是一个基于 Visual Studio Code(VS Code)技术构建的高级代码编辑器,专为提高编程效率并更深度地整合 AI 功能而设计。它不仅继承了 VS Code 的强大功能和用户界面,还增加了专门针对 AI 支持的特色功能。Cursor 是 VS Code 的一个分支,这意味...

[转帖]混合部署拓扑

https://docs.pingcap.com/zh/tidb/stable/tune-tikv-thread-performance 本文介绍 TiDB 集群的 TiKV 和 TiDB 混合部署拓扑以及主要参数。常见的场景为,部署机为多路 CPU 处理器,内存也充足,为提高物理机资源利用率,可单

Visual Studio编程效率提升技巧集(提高.NET编程效率)

前言 本文大姚将为你介绍一些Visual Studio的使用技巧和建议,旨在帮助.NET开发者更加高效地利用Visual Studio进行编程工作。无论你是.NET初学者还是经验丰富的.NET开发者,这些技巧都将有助于提升你的工作效率,让你能够更快地编写出高质量的代码。让我们一起探索这些技巧,让编程

还在为618电商推送方案烦恼?我们帮你做好了!

618是每年重要的电商大促活动,热度高流量大,是电商App吸引新用户,提高用户转化率(购买率)的最好时机。对电商App运营来说,消息推送是不可忽略的流量来源之一,适当的消息推送可以召回用户,提高用户复购率。如何利用消息推送功能在618电商节帮助App获取流量并提高转化率是运营需要关注的问题。 在回答

提高 Web 开发效率的10个VS Code扩展插件,你知道吗?

摘要:本文由葡萄城技术团队于博客园发布。转载请注明出处:葡萄城官网,葡萄城为开发者提供专业的开发工具、解决方案和服务,赋能开发者。 前言 一个出色的开发工具可以显著提高开发人员的开发效率,而优秀的扩展插件则能更进一步地提升工具的效率。在前端开发领域,VSCode毫无疑问是目前最受欢迎的开发工具。为了

【稳定性】稳定性建设之弹性设计

弹性设计为系统稳定性建设提供了一种新的视角和方法,它有助于提高系统的可用性、性能和安全性,同时也降低了维护和修复的成本和风险

如何实现云数据治理中的数据安全?

云计算被定义为计算资源的共享池,已经在不同的应用领域广泛部署和使用。在云计算中,数据治理在提高整体性能和确保数据安全方面发挥着至关重要的作用。本研究从管理和技术应用两方面探讨如何实现云数据治理中的数据

数据结构与算法大作业:走迷宫程序(实验报告)

好家伙,本篇为应付老师的实验报告,有需要的拿去抄吧 思路讲解在上一篇: 数据结构与算法大作业:走迷宫程序(C,代码以及思路) 一、作业目的 1、 掌握用数据结构的知识进行程序设计。 2、 应用所学的数据结构完成一个具有一定实际意义的应用程序的设计、编码、调试,锻炼实践动手能力,提高编程水平。 二、作

[转帖]用了这18种方案,接口性能提高了100倍!

https://juejin.cn/post/7167153109158854687 前言 大家好,我是捡田螺的小男孩。 之前工作中,遇到一个504超时问题。原因是因为接口耗时过长,超过nginx配置的10秒。然后 真枪实弹搞了一次接口性能优化,最后接口从11.3s降为170ms。本文将跟小伙伴们分