GitHub прям врывается в безопасность открытого ПО, и вот почему:
1. В сентябре компания получила статус CNA (CVE Numbering Authority), что позволяет ей выпускать идентификаторы CVE для библиотек и продуктов, размещенных на GitHub.
2. На прошлой неделе они анонсировали собственную базу CVE под названием GitHub Advisory Database.
3. Сделали возможность подачу заявок на CVE из интерфейса GitHub с последующим оповещением всех затронутых проектов.
4. Теперь в течении нескольких секунд после коммита GitHub сканирует ваш код на наличие в нем токенов различных облачных провайдеров, а в случае совпадения уведомляет.
5. Теперь помимо уведомления об уязвимых зависимостях в коде, GitHub автоматически создает pull request на их исправление.
Ну не лапочки?
Подробнее о последнем апдейте: https://github.blog/2019-11-14-announcing-github-security-lab-securing-the-worlds-code-together/
1. В сентябре компания получила статус CNA (CVE Numbering Authority), что позволяет ей выпускать идентификаторы CVE для библиотек и продуктов, размещенных на GitHub.
2. На прошлой неделе они анонсировали собственную базу CVE под названием GitHub Advisory Database.
3. Сделали возможность подачу заявок на CVE из интерфейса GitHub с последующим оповещением всех затронутых проектов.
4. Теперь в течении нескольких секунд после коммита GitHub сканирует ваш код на наличие в нем токенов различных облачных провайдеров, а в случае совпадения уведомляет.
5. Теперь помимо уведомления об уязвимых зависимостях в коде, GitHub автоматически создает pull request на их исправление.
Ну не лапочки?
Подробнее о последнем апдейте: https://github.blog/2019-11-14-announcing-github-security-lab-securing-the-worlds-code-together/