周三GitHub发布了新的安全功能，旨在解决软件漏洞问题以及防止机密数据的意外泄露。

在GitHub Satellite 2020虚拟会议中，这个基于云的软件开发平台发布了两个Beta版的新安全服务：代码扫描和“机密信息”扫描。GitHub产品管理总监Gray Baker告诉SearchSecurity，这些扫描工具是为了改善安全功能，去年9月份该公司收购代码分析供应商Semmle后就开始努力改进安全性。

代码扫描功能现已作为GitHub的本机工具提供，在软件上载到存储库后会自动扫描软件，当发现代码中存在任何潜在安全漏洞，将向企业发出警报。

Baker说：“过去几年，我们在安全方面做了很多工作。现在，我们的目标正从更容易应对漏洞转向更容易预防这些漏洞。”

Baker特别提到Uber最近的示例。这家乘车共享公司通过其漏洞赏金平台收到有关严重漏洞的报告，Uber在运行代码扫描功能（GitHub已向某些GitHub Advanced Security客户推出该功能）后，Uber的安全团队在其系统中发现该漏洞的11个其他实例。Uber应用程序安全主管Rob Fletcher在一份新闻声明中说，这一发现为公司带来了“显着的成本节省”。

此外，Baker说，客户可以开源并共享其扫描查询，以便其他企业可以使用它们在自己的代码中查找类似的漏洞和缺陷。他说：“这使安全感觉更像是一种协作，这是我们愿景的一部分。”

扫描机密信息

自2018年推出以来，机密信息扫描以前被称为令牌扫描，并且可用于所有公共存储库，但该工具已进行了改进，也将适用于所有私有存储库。除了搜索可能暴露的身份验证令牌之外，该工具还查找其他类型的文件格式和机密数据。

Baker表示，这些功能旨在防止机密信息泄漏事故，例如AWS今年早些时候在公共GitHub存储库中意外泄露私有加密密钥和客户凭证。他补充说，尽管将GitHub存储库设为私有可以减少暴露，但并不能完全消除泄漏。

他说：“即使你的存储库设置为私有，我也不认为你会希望整个公司的每个人都可以使用私人密钥。”