可用-安全

GitHub Releadot 警示开发者留意易受攻击的 GitHub 操作

  • 浏览次数 6022
  • 喜欢 0
  • 评分 12345

Hackernews 编译,转载请注明出处:

微信截图_20220811143306

云代码托管平台GitHub宣布,它将为易受攻击的GitHub Actions发送Dependabot警报,以帮助开发人员修复CI/CD工作流程中的安全问题。

GitHub的Brittany O’Shea和Kate Catlin说:“在行动中报告安全漏洞时,我们的安全研究团队会创建一个文件来记录该漏洞,这会触发对受影响存储库的警报。”

GitHub Actions是一种持续集成和持续交付(CI/CD)解决方案,使用户能够自动执行软件生成、测试和部署管道。

微信截图_20220811144713

Dependabot是微软旗下子公司的一部分,通过通知用户其源代码依赖于具有安全漏洞的软件包,并帮助所有依赖项保持最新状态,来确保软件供应链的安全。

最新举措需要接收有关GitHub操作和影响开发人员代码的漏洞的警报,用户还可以选择通过遵守一致的披露流程,提交特定GitHub操作的建议。

该公司指出:“这些改进加强了GitHub和我们用户的安全态势,这就是为什么我们继续投资收紧GitHub供应链安全解决方案和GitHub Actions之间的连接点,从而提高构建的安全性。”

本周早些时候,GitHub开放了一个新的评论系统,允许软件包维护人员能够与Sigstore合作签署和验证发布到NPM的软件包。

消息来源:TheHackerNews,译者:Shirley;
本文由 HackerNews.cc 翻译整理,封面来源于网络;
转载请注明“转自 HackerNews.cc ” 并附上原文