Hackernews 编译,转载请注明出处:
云代码托管平台GitHub宣布,它将为易受攻击的GitHub Actions发送Dependabot警报,以帮助开发人员修复CI/CD工作流程中的安全问题。
GitHub的Brittany O’Shea和Kate Catlin说:“在行动中报告安全漏洞时,我们的安全研究团队会创建一个文件来记录该漏洞,这会触发对受影响存储库的警报。”
GitHub Actions是一种持续集成和持续交付(CI/CD)解决方案,使用户能够自动执行软件生成、测试和部署管道。
Dependabot是微软旗下子公司的一部分,通过通知用户其源代码依赖于具有安全漏洞的软件包,并帮助所有依赖项保持最新状态,来确保软件供应链的安全。
最新举措需要接收有关GitHub操作和影响开发人员代码的漏洞的警报,用户还可以选择通过遵守一致的披露流程,提交特定GitHub操作的建议。
该公司指出:“这些改进加强了GitHub和我们用户的安全态势,这就是为什么我们继续投资收紧GitHub供应链安全解决方案和GitHub Actions之间的连接点,从而提高构建的安全性。”
本周早些时候,GitHub开放了一个新的评论系统,允许软件包维护人员能够与Sigstore合作签署和验证发布到NPM的软件包。
消息来源:TheHackerNews,译者:Shirley;
本文由 HackerNews.cc 翻译整理,封面来源于网络;
转载请注明“转自 HackerNews.cc ” 并附上原文