GitHub 为公开仓库设立非公开漏洞报告渠道,保护开源软件安全

于 2022-11-14 17:57:23 发布
阅读量197 收藏
点赞数
文章标签: github 安全
原文链接:https://mp.weixin.qq.com/s?__biz=MzI2NTg4OTc5Nw==&mid=2247514622&idx=4&sn=c7a348f09266e1cc2c26a0cd4b79187f&chksm=ea948894dde30182d3c3c7adad2a502d1fa5fa66dad088160b687abc84cbc2dbe6df101d3840&scene=126&&sessionid=0
版权

28301823d079031736aa73c2102dbc8f.gif 聚焦源代码安全,网罗国内外最新资讯!

编译:代码卫士

06b28c29be3d105daceb9ac49c668bf7.gif

GitHub 推出一项新的非公开漏洞报告能力,公开仓库的维护人员可允许安全研究员直接报告在仓库中发现的任何漏洞。

某些仓库中可能会包含如何联系维护人员的指南,但对于没有提供这种指南的仓库,研究人员通常会公开报告这些问题。不管研究人员是通过社交媒体还是创建公开问题清单报告,皆可导致漏洞详情被错误公开。为避免这种情况,GitHub 推出了非公开漏洞报告机制,研究人员可直接联系愿意参与的仓库维护人员。

如启用该功能,漏洞报告人员可在表单中填写相关漏洞详情。GitHub 指出,“对公开仓库具有管理权限的任何人员均可启用并禁用非公开的漏洞报告功能”。漏洞报告提交后,仓库维护人员会收到报告通知并可选择接受或拒绝该报告,或者选择询问更多相关问题。

GitHub 指出,这项新能力的好处包括:以非公开方式讨论漏洞详情、直接在平台上收到所讨论和修复的漏洞报告、报告人员发起的公告报告以及风险遭公开的可能性更低。一旦启用该能力,研究人员可点击仓库的“公告 (Advisories)”页面中的“报告漏洞”按钮,提交漏洞报告。

GitHub 在GitHub Universe 2022全球开发者大会上推出了该非公开漏洞报告能力,同时还宣布CodeQL 对Ruby的支持、为GitHub 企业用户的安全风险和覆盖视图新功能以及资助开源开发人员。

通过新的GitHub Accelerator 计划,GitHub 将为维护开源仓库的20名开发人员提供2万美元的奖励金,同时退出1000万美元的 M12 GitHub Fund,支持未来的开源企业。

代码卫士试用地址:https://codesafe.qianxin.com

开源卫士试用地址:https://oss.qianxin.com

推荐阅读

微软GitHub Copilot 被诉违反开源许可条款和侵犯开发人员权益

谷歌开源Allstar 项目,保护GitHub 仓库安全

GitHub 发布 Octoverse 开源软件安全趋势报告(超详)

Repo Jacking:依赖关系仓库劫持漏洞,影响谷歌GitHub等7万多个开源项目的供应链

GitHub 在热门 Node.js changelog 开源库Standard Version中发现 RCE 漏洞

原文链接

https://www.securityweek.com/github-introduces-private-vulnerability-reporting-public-repositories

题图:Pixabay License‍

本文由奇安信编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。

a321c9cc9bd4f6a0b6ae6c6c95abaa71.jpeg

1a4060c4435137f3c4ec3ee513691b28.jpeg

奇安信代码卫士 (codesafe)

国内首个专注于软件开发安全的产品线。

   56e8630e769dd1bafc424c0ad08d0237.gif 觉得不错,就点个 “在看” 或 "赞” 吧~

奇安信代码卫士
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
gitdummy:在您的GitHub日志中进行私人贡献而不公开私有源代码-git source code
03-25
GitDummy v3 是否曾经想将您的私有存储库贡献包括到您的贡献面板中? 好吧,现在可以。 该脚本将从现有存储库读取并将所有提交消息转录为虚拟存储库,然后您可以将其公开添加到GitHub帐户。 该脚本不传输任何源代码,仅传输提交存根及其关联的日期。 该脚本可以运行多次,并且可以随时更新虚拟仓库。 步骤1:为您的存储库(repos.json)创建JSON数组: [ { " target_repo " : [ " /home/brian/myrepo " , " /home/brian/myrepo-old " ], " target_email " : [ " brian@example.org " , " bob@otherexample.com " ], " dummy_repo "
依赖性问题:解决全球开源软件安全问题.docx
12-13
依赖性问题:解决全球开源软件安全问题 依赖性问题是当前全球开源软件安全的主要挑战之一。 开源软件供应链可能会引入未知的、可能是有意的平安漏洞。依赖于其他组件的组件无限地依赖于其他组件,使得阻止攻击变得...
git版本控制 怎么不公开_我不git版本控制
weixin_26741235的博客
09-10 297
git版本控制 怎么不公开I was today years old when I learned and understood what Git was. Hidden in the MacOS(and Linux), there is a great functionality that makes any developers life so much easier. It’s no mys...
GitHub 的 Git 的【仓库管理】
一只特立独行的羊
05-14 244
讲解了如何将本地项目同步或源码库同步到GitHub
GitHub惨遭攻击!黑客给出十天限期:不交赎金就公开代码
githubshare的博客
05-07 1031
就在五一假期的最后一天,GitHub 被攻击了!攻击于5月3日开始,包括GitHub、Bitbucket 和 GitLab在内的代码托管平台都受到了影响。 已经有不少程序员发现他们的源代码和 Repo 消失不见,取而代之的是黑客留下的一封勒索信! 黑客声称所有源码都已经下载并存储在他们的一台服务器上,并且给受害者十天时间支付赎金,否则,他们会公开代码: 要找回你丢失的代码并避免代码泄...
贼喊捉贼?“盗版”软件开发者向 GitHub 投诉被侵权
CSDN资讯
08-26 5960
整理 | 于轩 出品 | CSDN(ID:CSDNnews)拥有超过2亿个代码存储库,由8000多万用户共享,GitHub已然成为世界上最大和最先进的开发平台。与其他托管用户生成内容的平台一样,这个庞大的代码库经常会接到版权侵权投诉。去年,GitHub就根据DMCA删除通知,删除了近2万个项目。这类删除可能会针对各种内容。例如,主流媒体公司经常投诉允许人们访问盗版内容的软件。但同样,也有...
2020年GitHub Octoverse开源软件安全报告有哪些亮点?.pdf
11-23
2020年GitHub Octoverse开源软件安全报告有哪些亮点?.pdf
GitHub 的开源项目:绝版游戏保护工程.zip
08-29
GitHub 的开源项目:绝版游戏保护工程.zip含下载地址可存云盘
[ github资源 ] github网络安全相关仓库.xlsx
02-11
[ github资源 ] github网络安全相关仓库
亲爱的github:开源项目维护者给GitHub公开
02-26
您已经做了很多工作来发展开源社区并使之真正为用户所用。 您以某种方式使我们追逐星星并填充正方形,从而在此过程中改进了世界软件。 但是,我们许多人感到沮丧。 我们当中那些在GitHub上运行一些最受欢迎的项目...
GitHub 源代码疑遭泄漏
smellycat000的专栏
11-05 724
聚焦源代码安全,网罗国内外最新资讯!编译:奇安信代码卫士团队TypeScript的开发者Resynth 发布题为《GitHub 源代码泄漏》的文章指出,GitHub.com 的所有源代...
github】如何将私有仓库公有化?
二琳爱吃肉的博客
03-16 7977
最近着急准备笔试面试,感觉要炸了。 将github上的私有仓库公有化,其实只需要简单几步即可实现。 一、选择已有的私有仓库,进入设置settings。 1、我选择的是我的Csharpworkspace,里面有我之前学习C#时上传的一些小练习。 2、进入仓库,找到settings 二、往下滑动找到Danger Zone,点击change visibility。 根据提示,勾选make public,再输入相关信息后确定即可。 修改成功 同样方法,也可以将pu..
设置GitHub项目为自己可见
qq_38372358的博客
06-18 3395
GitHub公开项目设置为自己可见
github对外不可见_太赞啦!GitHub 重磅宣布,私有仓库将对外免费开放,不限人数!...
weixin_36239323的博客
01-15 1787
今天凌晨 00:04,GitHub CEO Nat Friedman 正式对外宣布,GitHub 将永久性对用户和团队免费开放私有仓库的使用,并且不限制项目协作人数。同时 GitHub 上当前拥有的一些核心功能,也将对所有人免费开放,以便开发者可以更好的使用 GitHub 来进行日常团队协作,无需再受价格阻碍。也即是说,每个项目的团队人员,现在可以在 GitHub 上自由使用 CI/CD,项目管理...
【iOS开发】---- 手把手教你github托管代码
冻僵的企鹅'zone
06-20 6271
在csdn上还有一篇介绍如何使用github托管代码的: 两分钟学会在GitHub托管代码。我照着这个教程尝试了一遍,发现代码并没有托管上去,只是创建了一个存放代码的仓库(repository,翻译可能不当,大家理解就好)。        然后我只好自己摸索了,终于找到一个常便捷(真的很便捷)的托管代码的方法,在这里分享一下。        代码托管
GitHub公共库与私有库相互转换
热门推荐
二木成林
02-04 3万+
步骤1:登录GitHub,建立一个新库。 步骤2:点击【Settings】 步骤3:将页面滑至最下方,点击【Make public】。 步骤4:输入仓库名称进行确认,再点击【I understand, make this repository public.】 步骤5:已经转换成功。同样也可以把公共库变成私有库。    ...
重大消息:GitHub 可以免费无限制创建私有仓库
非著名程序员
01-08 1万+
今天早上醒来,打开微博就看到了这么一条让人吃惊的消息。真的是太让人惊讶了!GitHub 可以免费无限制的为普通用户提供私有仓库服务了。虽然可以免费创建私有仓库了,但是还是...
如何防止公开内容被搜索引擎搜到?
yunshi9552的博客
01-03 656
举个例子,比如QQ空间,有些人的QQ空间只对好友开放或者需要回答问题才能进入。我本来想通过搜索引擎搜索这些人空间了的内容,但是没有搜到任何结果。说明QQ空间里公开的内容搜索引擎是搜不到的。 现在我的问题是,比如我有一个网站,里面有一部分内容是需要登录验证身份后才能看到的。那么如何防止这些内容被搜索引擎搜索到?
GitHub】从0开始搭建GitHub环境系列之二——创建仓库
码农之家
12-14 8872
一、New repository 实际创建一个公开仓库。点击右上角工具栏里的 New repository图标,创建新的仓库。 二、Create a new reporitory 在 Repository name 栏中输入仓库的名称; 在Description栏中可以填写仓库的说明。这一栏不是必需项,可以留空; Public、Private这一选项可以选择 Public 还是 Private。选Public则会创建公开仓库仓库内的所有内容都会被公开。选择 Private 可以创建公开仓库
github开源软件
最新发布
02-29
GitHub上,开源软件项目通常以仓库(repository)的形式存在,每个仓库都包含了项目的代码、文档、许可证等信息。 GitHub上的开源软件项目具有以下特点: 1. 可公开访问:任何人都可以查看和下载开源软件项目的...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值