GitHub 推出安全新功能,帮助开源软件发现漏洞和机密信息

最新推荐文章于 2022-12-27 15:11:09 发布
最新推荐文章于 2022-12-27 15:11:09 发布
阅读量505 收藏
点赞数
原文链接:https://www.codesafe.cn/#/home
版权

 聚焦源代码安全,网罗国内外最新资讯!

编译:奇安信代码卫士团队




本周三,GitHub 宣布推出两个安全新功能,旨在帮助开发人员找到代码中的漏洞和潜在的敏感机密信息。

GitHub 在 Satellite 虚拟会议中推出多款新产品,其中包括旨在帮助客户编写并使用更安全代码的产品。

这些安全新功能即代码扫描和机密扫描目前尚处于测试阶段。GitHub 指出代码扫描帮助开发人员在每次 “git push” 过程中发现潜在漏洞,扫描结果直接显示在 pull 请求中。

代码扫描功能利用的是 CodeQL 代码分析引擎。CodeQL 是 GitHub 去年推出的计划的一部分,开源项目可免费使用,该公司表示这次新推出的代码扫描功能也将对开源软件免费开放。

机密扫描(此前被称为“令牌扫描”)功能可使用户找到代码中的潜在敏感数据如令牌、加密密钥和用户凭证。该功能在2018年就已对公共库开放,而GitHub 已携手多家公司如 AWS、微软、谷歌、Stripe、Twilio 和 npm 扩展其覆盖范围。GitHub 表示机密扫描目前也对非公开库开放。

GitHub 表示,“代码扫描和机密扫描对所有公开库均免费,是 GitHub Advanced Security 计划的一个组成部分。”

周三,GitHub 还披露了即将发布的针对企业客户的 Private Instances 功能,“Private Instances 提供了增强的安全、合规和策略功能如 bring-your-own-key 加密、备份归档并与区域数据主权要求合规。”

推荐阅读

刚刚GitHub 收购 npm,旨在提升开源软件供应链安全

GitHub 推出“安全实验室”和漏洞奖励计划,提升开源生态系统安全

原文链接

https://www.securityweek.com/new-github-features-help-find-vulnerabilities-and-secrets-code

题图:Pixabay License

本文由奇安信代码卫士编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 www.codesafe.cn”。

奇安信代码卫士 (codesafe)

国内首个专注于软件开发安全的

产品线。

    点个 “在看” ,加油鸭~

奇安信代码卫士
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
codeql:CodeQL:为世界各地的安全研究人员提供支持的库和查询,以及GitHub Advanced Security(代码扫描),LGTM.com和LGTM Enterprise中的代码扫描
02-13
CodeQL 这个开源存储库包含标准的CodeQL库和查询,这些查询和查询为向其全球客户提供的和其他CodeQL产品提供了支持。 有关支持Go分析的查询,库和提取器,请访问。 如何学习CodeQL并运行查询? 关于编写CodeQL的入门,有。 您可以使用LGTM.com上的或扩展的来尝试对当前正在分析的任何开源项目进行查询。 贡献 我们欢迎为我们的标准库和标准检查做出贡献。 您是否有进行检查的想法,或如何改善现有查询? 然后,请继续并打开请求请求! 不过,在您这样做之前,请花点时间阅读我们的。 您还可以查阅我们的以了解如何设置代码格式以保持一致性和清晰度,如何编写查询元数据以及如何为查询编写查询帮助文档。 执照 该存储库中的代码已获得的。 Visual Studio代码集成 如果使用Visual Studio Code在此存储库中工作,则有一些集成功能可以使开发更加容易。 Visua
GitHub增加了自动漏洞代码扫描功能
kafankeji的博客
01-11 306
GitHub的其他安全闻中,该公司于2022年5月开始实施双因素身份验证(2FA),最近又开始实施私人漏洞报告。这项功能被称为默认设置,它简化了在使用Python、JavaScript和Ruby的存储库上启动代码扫描的过程。该公司还澄清说,通过.yaml文件手动扫描仍然是可能的,但现在是在高级选项下,可以自定义代码扫描。据GitHub称,这项功能是该公司构建安全工具的努力的一部分,为开发人员提供无障碍的体验。功能已经在存储库的设置选项卡的安全标题下的代码安全和分析部分中可用。
GitHub安全最佳实践
weixin_47208161的博客
04-03 499
写在前面GitHub安全最佳实践列表1.不要将凭证作为代码/配置存储在GitHub中。2.删除文件中的敏感数据和GitHub历史记录3.限制访问控制4.增加SECURITY.md文件5....
github优质网络安全链接笔记
u011975363的专栏
07-14 197
poc 服务器模板注入:https://github.com/epinna/tplmap goby poc:https://github.com/luck-ying/Library-POC
谷歌开源Allstar 项目,保护GitHub 仓库安全
smellycat000的专栏
08-12 172
聚焦源代码安全,网罗国内外最资讯!编译:代码卫士谷歌开源 Allstar 项目,通过不断监控和执行一系列安全策略来保护 GitHub 项目的安全,从而阻止基本的安全配置错误问题。All...
Refined GitHub:浏览器扩展,可简化GitHub界面并添加功能-开源
04-25
浏览器扩展,可简化GitHub界面并添加有用的功能。 在存储库名称旁边添加一个构建/ CI状态图标。 当它为空时,从存储库和配置文件中隐藏“项目”选项卡。 仍然可以通过“创建…”菜单来创建项目。 隐藏叉子和观察...
zookeeper连接软件 github开源 最发行版
09-02
zookeeper连接软件 github开源 最发行版
Quesa:3D渲染和场景图库(移至GitHub)-开源
05-10
高级3D图形库。 支持保留和立即模式渲染,可扩展的文件格式,插件渲染器,各种高级几何结构,层次模型以及一致且面向对象的API。
800Craft:基于功能和性能的Minecraft经典服务器软件-开源
05-27
它是McForge和McStorm等其他软件的替代产品,专注于实现大量功能,同时保持高性能和稳定性。 您可以在这里找到项目页面:https://github.com/glennmr/800craft并且您可以在这里找到计划的功能:...
Brew Competition Online Entry & Mgmt.:GitHub上的最版本-开源
05-29
请访问GitHub以获取最版本。 https://github.com/geoffhumphrey/brewcompetitiononlineentry/releases
secret_hub:通过支持批量操作和组织机密管理GitHub机密
02-04
SecretHub-GitHub秘密CLI SecretHub使您可以从命令行轻松管理GitHub机密,并支持批量操作和组织机密。 安装 使用Ruby: $ gem install secret_hub 或使用Docker: $ alias secrethub= ' docker run --rm -it -e GITHUB_ACCESS_TOKEN -v "$PWD:/app" dannyben/secrethub ' 先决条件 SecretHub是的包装。 要使用它,您需要使用设置环境: $ export GITHUB_ACCESS_TOKEN= < your access to
Github突遭大规模恶意攻击,大量加密密钥可能泄露!
zandaoguang的博客
08-04 151
视学算法报道编辑:David【导读】爆料者在推特上表示,目前已经向Github报告,并提醒各位不要安装奇奇怪怪的package。目前官方已删除大部分恶意clone。Github又被人恶意攻击了?还是涉及35000资源库的大规模攻击?这个消息不是官方消息,是推特用户@Stephen Lacy在推特上发出来的。个人资料显示,Stephen Lacy是一位软件工程师,从...
核弹级Github开源阿里内部Security指南,1小时破万浏览
m0_74132984的博客
10-08 148
任何一个网站开始之前都应该要考虑到安全,在 Java 应用安全领域,Spring Security 是最被推崇的安全解决方案,我们要依赖Spring应用程序来传输数据、验证凭据和防止攻击。采用“通过设计实现安全防护”的原则能够保护我们的网络避免数据被窃取和未经授权的入侵。 今天给大家推荐的这本【Spring Security成长指南】让你不光理解 Spring Security ,还能让你真正掌握背后的原理,不管你是小白进行入门还是深研spring security架构的:这都是一本必不可少的佳作,里面的
从工具到实践:如何在GitHub上保障开源项目安全
分享平台工程、应用部署的最佳实践
12-27 978
1998年,Christine Peterson创造了 “开源软件”这个词。她解释道:“这是刻意为之,为了让其他人更容易理解这个领域”。同年,O’Reilly组织了首届“开源峰会”。开源软件受到更多人青睐原因在于,用户对软件拥有更多的控制权因为他们可以检查代码。对于长期项目来说,开源软件被认为是稳定的,因为这些项目遵循开放的标准,即便维护者停止工作,也不会凭空消失。活跃的开发者社区十分重要。比起闭源软件,开源需要更多地考虑安全问题,因为任何人都可以查看并修改代码。贡献者可以发现错误并提交一个PR对代码进行变
github:解决项目依赖的安全隐患
foreverzwl
05-13 969
github上第一次上传了自己的项目,然后就收到了安全警告。 作为手,当然也是对怎么解决这个问题,感到一头雾水。经过一番摸索之后,在这里记录并分享一下解决方式。先点进去看看是什么问题。 然后点击依赖名称进去看看详细情况: 然后我们打开我们项目中的package.json文件。这里我一开始在解决的时候,我百度了一下,然后有说法是在package-lock.json文件中查找依赖名称进行修改,然后我一查,能找到好多个地方都有这个依赖名称,我头都大了。幸好后面我机智的觉得可能在package
如何在 Git 提交前进行代码质量检测
sqc157400661的博客
11-02 5135
# 规范代码 本次只有检测要提交代码中是否存在调试代码 !!后期版本加上代码语法和质量等检测!!! # 适用于 win mac linux
解决GitHub Push代码时的问题:Please make sure you have the correct access rightsand the repository exists.
ShunGangHu
10-28 235
1、将本机的.ssh目录下的文件全部删除 路径:C:\Users\&{自己点的用户名}\.ssh 2、重生成秘钥 2.1、在桌面右击,打开Git Bash 2.2、开始生成秘钥,输入如下信息 ssh-keygen -t rsa -C "&{你的邮箱地址}"-- 两头的双引号一定保留,输入后按回车键,之后一直回车即可。 最后查看C:\Users\&{自己点的用户名}\.ssh目录如下,表示成功(会有如下两个文件产生): 3、GitHub更换或是增公..
基于GEC6818五子棋游戏GEC6818_Gomoku.zip
05-12
五子棋游戏想必大家都非常熟悉,游戏规则十分简单。游戏开始后,玩家在游戏设置中选择人机对战,则系统执黑棋,玩家自己执白棋。双方轮流下一棋,先将横、竖或斜线的5个或5个以上同色棋子连成不间断的一排者为胜。 【项目资源】:包含前端、后端、移动开发、操作系统、人工智能、物联网、信息化管理、数据库、硬件开发、大数据、课程资源、音视频、网站开发等各种技术项目的源码。包括STM32、ESP8266、PHP、QT、Linux、iOS、C++、Java、python、web、C#、EDA、proteus、RTOS等项目的源码。 【技术】 Java、Python、Node.js、Spring Boot、Django、Express、MySQL、PostgreSQL、MongoDB、React、Angular、Vue、Bootstrap、Material-UI、Redis、Docker、Kubernetes
单片机C语言Proteus仿真实例左右来回的流水灯
最新发布
05-12
单片机C语言Proteus仿真实例左右来回的流水灯提取方式是百度网盘分享地址
github开源软件
02-29
3. 可问题追踪:开源软件项目通常会使用GitHub的问题追踪系统来管理和解决bug、功能请求等问题。 4. 可持续更开源软件项目可以通过版本控制系统来管理代码的更和发布。 通过GitHub,开发者可以找到各种类型的...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值