Следующая новость
Предыдущая новость

GitHub теперь может присваивать уязвимостям идентификаторы CVE

19.09.2019 22:42
GitHub теперь может присваивать уязвимостям идентификаторы CVE

Рекомендуем почитать:

Xakep #245. Нейросети

  • Содержание выпуска
  • Подписка на «Хакер»

На этой неделе представители GitHub анонсировали сразу ряд нововведений.

Во-первых, в Dependency Graph добавится поддержка PHP-проектов на Composer. Это означает, что пользователи смогут получать автоматические предупреждения безопасности для любых уязвимостей, возникающих в зависимостях их проектов PHP.

Во-вторых, компания Microsoft приобрела инструмент для анализа кода Semmle (сумма сделки не разглашается). Его со временем планируется интегрировать с GitHub и затем использовать для улучшения процесса сканирования уязвимостей. Напомню, что к настоящему моменту Semmle уже используется Google, Uber, НАСА и Microsoft и многими другими проектами с открытым исходным кодом.

В-третьих, на этой неделе GitHub завершил сертификацию в качестве CVE Numbering Authority, то есть теперь компания сможет самостоятельно присваивать уязвимостям идентификаторы CVE. Полномочия GitHub будут распространяться только на проекты с открытым исходным кодом, размещенные на платформе, но это означает, что фигурирующие в багтрекере уязвимости будут получать идентификаторы CVE намного быстрее, так как владельцы проектов смогут запросить CVE у GitHub, минуя трудоемкий процесс обращения и утверждения бага в MITRE.

GitHub is now a CVE Numbering Authority (CNA) 🎉

Disclose vulnerabilities, alert developers, and provide updates all from within GitHub. Coming soon!

— GitHub (@github) September 18, 2019

Источник

Последние новости