GitHub安全功能可解决数据泄露和漏洞问题

日期: 2020-05-10 作者:Rob Wright翻译:邹铮 来源:TechTarget中国 英文

周三GitHub发布了新的安全功能,旨在解决软件漏洞问题以及防止机密数据的意外泄露。

在GitHub Satellite 2020虚拟会议中,这个基于云的软件开发平台发布了两个Beta版的新安全服务:代码扫描和“机密信息”扫描。GitHub产品管理总监Gray Baker告诉SearchSecurity,这些扫描工具是为了改善安全功能,去年9月份该公司收购代码分析供应商Semmle后就开始努力改进安全性。

代码扫描功能现已作为GitHub的本机工具提供,在软件上载到存储库后会自动扫描软件,当发现代码中存在任何潜在安全漏洞,将向企业发出警报。

Baker说:“过去几年,我们在安全方面做了很多工作。现在,我们的目标正从更容易应对漏洞转向更容易预防这些漏洞。”

Baker特别提到Uber最近的示例。这家乘车共享公司通过其漏洞赏金平台收到有关严重漏洞的报告,Uber在运行代码扫描功能(GitHub已向某些GitHub Advanced Security客户推出该功能)后,Uber的安全团队在其系统中发现该漏洞的11个其他实例。Uber应用程序安全主管Rob Fletcher在一份新闻声明中说,这一发现为公司带来了“显着的成本节省”。

此外,Baker说,客户可以开源并共享其扫描查询,以便其他企业可以使用它们在自己的代码中查找类似的漏洞和缺陷。他说:“这使安全感觉更像是一种协作,这是我们愿景的一部分。”

扫描机密信息

自2018年推出以来,机密信息扫描以前被称为令牌扫描,并且可用于所有公共存储库,但该工具已进行了改进,也将适用于所有私有存储库。除了搜索可能暴露的身份验证令牌之外,该工具还查找其他类型的文件格式和机密数据。

Baker表示,这些功能旨在防止机密信息泄漏事故,例如AWS今年早些时候在公共GitHub存储库中意外泄露私有加密密钥和客户凭证。他补充说,尽管将GitHub存储库设为私有可以减少暴露,但并不能完全消除泄漏。

他说:“即使你的存储库设置为私有,我也不认为你会希望整个公司的每个人都可以使用私人密钥。”

我们一直都在努力坚持原创.......请不要一声不吭,就悄悄拿走。

我原创,你原创,我们的内容世界才会更加精彩!

【所有原创内容版权均属TechTarget,欢迎大家转发分享。但未经授权,严禁任何媒体(平面媒体、网络媒体、自媒体等)以及微信公众号复制、转载、摘编或以其他方式进行使用。】

微信公众号

TechTarget微信公众号二维码

TechTarget

官方微博

TechTarget中国官方微博二维码

TechTarget中国

电子邮件地址不会被公开。 必填项已用*标注

敬请读者发表评论,本站保留删除与本文无关和不雅评论的权力。

翻译

邹铮
邹铮

相关推荐

  • 安全运营中心的8大优势

    安全运营中心(SOC)是抵御攻击和数据泄露事故的第一道防线之一。在此命令中心内工作的信息安全员工可以创建、部署 […]

  • Sophos:“重量级”勒索软件索要高额赎金

    顶级勒索软件团伙正在变得越来越复杂,他们采用新的逃避技术,也在索要更多的赎金。 根据最新发布的《Sophos […]

  • 5个安全运营中心最佳做法

    研究数据表明,安全运营中心(SOC)可以显著推动企业的网络安全计划,这使SOC成为有效企业网络安全计划的基石。 […]

  • 了解零信任-SDP关系

    对于零信任,你需要了解的第一件事情是,对于一个强大的概念来说,这个名称并不是很好。这里的重点不是:没有什么可信 […]