周三GitHub发布了新的安全功能,旨在解决软件漏洞问题以及防止机密数据的意外泄露。
在GitHub Satellite 2020虚拟会议中,这个基于云的软件开发平台发布了两个Beta版的新安全服务:代码扫描和“机密信息”扫描。GitHub产品管理总监Gray Baker告诉SearchSecurity,这些扫描工具是为了改善安全功能,去年9月份该公司收购代码分析供应商Semmle后就开始努力改进安全性。
代码扫描功能现已作为GitHub的本机工具提供,在软件上载到存储库后会自动扫描软件,当发现代码中存在任何潜在安全漏洞,将向企业发出警报。
Baker说:“过去几年,我们在安全方面做了很多工作。现在,我们的目标正从更容易应对漏洞转向更容易预防这些漏洞。”
Baker特别提到Uber最近的示例。这家乘车共享公司通过其漏洞赏金平台收到有关严重漏洞的报告,Uber在运行代码扫描功能(GitHub已向某些GitHub Advanced Security客户推出该功能)后,Uber的安全团队在其系统中发现该漏洞的11个其他实例。Uber应用程序安全主管Rob Fletcher在一份新闻声明中说,这一发现为公司带来了“显着的成本节省”。
此外,Baker说,客户可以开源并共享其扫描查询,以便其他企业可以使用它们在自己的代码中查找类似的漏洞和缺陷。他说:“这使安全感觉更像是一种协作,这是我们愿景的一部分。”
扫描机密信息
自2018年推出以来,机密信息扫描以前被称为令牌扫描,并且可用于所有公共存储库,但该工具已进行了改进,也将适用于所有私有存储库。除了搜索可能暴露的身份验证令牌之外,该工具还查找其他类型的文件格式和机密数据。
Baker表示,这些功能旨在防止机密信息泄漏事故,例如AWS今年早些时候在公共GitHub存储库中意外泄露私有加密密钥和客户凭证。他补充说,尽管将GitHub存储库设为私有可以减少暴露,但并不能完全消除泄漏。
他说:“即使你的存储库设置为私有,我也不认为你会希望整个公司的每个人都可以使用私人密钥。”
我们一直都在努力坚持原创.......请不要一声不吭,就悄悄拿走。
我原创,你原创,我们的内容世界才会更加精彩!
【所有原创内容版权均属TechTarget,欢迎大家转发分享。但未经授权,严禁任何媒体(平面媒体、网络媒体、自媒体等)以及微信公众号复制、转载、摘编或以其他方式进行使用。】
微信公众号
TechTarget
官方微博
TechTarget中国
作者
翻译
相关推荐
-
SASE与SD-WAN:有什么不同?
远程工作者的需求会随着时间的推移而变化,并且分散在不同地理位置,这里的事实是:传统技术无法满足这些需求。 这一 […]
-
NCC集团:2月份勒索软件攻击激增73%
NCC集团预计,根据1月和2月创纪录的数字来看,2024年的勒索软件活动将超过去年的惊人水平。 这家IT服务和 […]
-
LockBit在被执法机构捣毁后卷土重来
在被国际执法组织捣毁仅几天后,LockBit勒索软件团伙正在卷土重来。 上周执法机构宣布了“Cronos行动” […]
-
如何进行社会工程渗透测试
在当今企业面临的所有安全威胁中,社会工程攻击是最关键的威胁之一,不仅因为它们可能导致安全漏洞、系统损坏、关键数 […]