На этой неделе представители GitHub анонсировали сразу ряд нововведений.
Во-первых, в Dependency Graph добавится поддержка PHP-проектов на Composer. Это означает, что пользователи смогут получать автоматические предупреждения безопасности для любых уязвимостей, возникающих в зависимостях их проектов PHP.
Во-вторых, компания Microsoft приобрела инструмент для анализа кода Semmle (сумма сделки не разглашается). Его со временем планируется интегрировать с GitHub и затем использовать для улучшения процесса сканирования уязвимостей. Напомню, что к настоящему моменту Semmle уже используется Google, Uber, НАСА и Microsoft и многими другими проектами с открытым исходным кодом.
В-третьих, на этой неделе GitHub завершил сертификацию в качестве CVE Numbering Authority, то есть теперь компания сможет самостоятельно присваивать уязвимостям идентификаторы CVE. Полномочия GitHub будут распространяться только на проекты с открытым исходным кодом, размещенные на платформе, но это означает, что фигурирующие в багтрекере уязвимости будут получать идентификаторы CVE намного быстрее, так как владельцы проектов смогут запросить CVE у GitHub, минуя трудоемкий процесс обращения и утверждения бага в MITRE.
GitHub is now a CVE Numbering Authority (CNA) ?
— GitHub (@github) September 18, 2019
Disclose vulnerabilities, alert developers, and provide updates all from within GitHub. Coming soon!