На этой неделе представители GitHub анонсировали сразу ряд нововведений.

Во-первых, в Dependency Graph добавится поддержка PHP-проектов на Composer. Это означает, что пользователи смогут  получать автоматические предупреждения безопасности для любых уязвимостей, возникающих в зависимостях их проектов PHP.

Во-вторых, компания Microsoft приобрела инструмент для анализа кода Semmle (сумма сделки не разглашается). Его со временем планируется интегрировать с GitHub и затем использовать для улучшения процесса сканирования уязвимостей. Напомню, что к настоящему моменту Semmle уже используется Google, Uber, НАСА и Microsoft и многими другими  проектами с открытым исходным кодом.

В-третьих, на этой неделе GitHub завершил сертификацию в качестве CVE Numbering Authority, то есть теперь компания сможет самостоятельно присваивать уязвимостям идентификаторы CVE. Полномочия GitHub будут распространяться только на проекты с открытым исходным кодом, размещенные на платформе, но это означает, что фигурирующие в багтрекере уязвимости будут получать идентификаторы CVE намного быстрее, так как владельцы проектов смогут запросить CVE у GitHub, минуя трудоемкий процесс обращения и утверждения бага в MITRE.

1 комментарий

  1. Аватар

    Diflyrest

    20.09.2019 at 01:04

Оставить мнение