本周三,GitHub 宣布推出两个安全新功能,旨在帮助开发人员找到代码中的漏洞和潜在的敏感机密信息。
GitHub 在 Satellite 虚拟会议中推出多款新产品,其中包括旨在帮助客户编写并使用更安全代码的产品。这些安全新功能即代码扫描和机密扫描目前尚处于测试阶段。GitHub 指出代码扫描帮助开发人员在每次 “git push” 过程中发现潜在漏洞,扫描结果直接显示在 pull 请求中。代码扫描功能利用的是 CodeQL 代码分析引擎。CodeQL 是 GitHub 去年推出的计划的一部分,开源项目可免费使用,该公司表示这次新推出的代码扫描功能也将对开源软件免费开放。机密扫描(此前被称为“令牌扫描”)功能可使用户找到代码中的潜在敏感数据如令牌、加密密钥和用户凭证。该功能在2018年就已对公共库开放,而GitHub 已携手多家公司如 AWS、微软、谷歌、Stripe、Twilio 和 npm 扩展其覆盖范围。GitHub 表示机密扫描目前也对非公开库开放。GitHub 表示,“代码扫描和机密扫描对所有公开库均免费,是 GitHub Advanced Security 计划的一个组成部分。”周三,GitHub 还披露了即将发布的针对企业客户的 Private Instances 功能,“Private Instances 提供了增强的安全、合规和策略功能如 bring-your-own-key 加密、备份归档并与区域数据主权要求合规。”
https://www.securityweek.com/new-github-features-help-find-vulnerabilities-and-secrets-code
题图:Pixabay License
本文由奇安信代码卫士编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 www.codesafe.cn”。
奇安信代码卫士 (codesafe)
国内首个专注于软件开发安全的
产品线。
点个 “在看” ,加油鸭~