看来GitHub的管理层正在认真考虑软件安全问题。首先,数据存储在斯匹次卑尔根岛; 为开发者提供财政支持。现在 GitHub 安全实验室是一项旨在鼓励所有感兴趣的专业人士参与提高开源软件安全性的计划。
F5、谷歌、HackerOne、英特尔、IOActive、摩根大通、领英、微软、Mozilla、NCC集团、甲骨文、Trail of Bits、Uber和VMware等公司已参与该计划。过去两年,他们已帮助识别并修复了多个项目中的105个漏洞。
其他参与者若发现漏洞,将获得最高 3000 美元的奖励。GitHub 界面现在提供获取问题 CVE 编号并创建报告的功能。漏洞目录也已上线。 其中包含有关 GitHub 上托管的应用程序的问题、易受攻击的软件包等信息。
此外,该系统已更新了安全防护措施,可防止令牌、密钥等个人和机密数据泄露到公共存储库。据悉,该系统会自动扫描 20 种服务和云系统的密钥格式。如果检测到问题,系统会向服务提供商发送请求,以确认问题并撤销已泄露的密钥。
值得注意的是,GitHub 之前已被微软收购。看来微软已经决定认真对待数据安全问题。
来源: 3dnews.ru
