GitHub设立首席安全官,承诺持续投安全全性工具与功能
开源平台GitHub任命前思科信息首席安全官Mike Hanley为第一任首席安全官(Chief Security Officer),以保护软件供应链的安全。Mike Hanley亲自在GitHub博客上宣布了这项消息,而作为第一任首席安全官,他承诺会进一步投安全全程序代码开发工具,让开发人员可以更简单地找出漏洞并且修复,也会在GitHub加入更多安全功能,保护项目存储库不受恶意人士攻击。
Mike Hanley提到,全世界的软件有一大部分是开源软件,而其中更有很大一部分在GitHub上开发。微软在2018年的时候,以75亿美元收购了GitHub,其实行开发者优先安全策略,投资包括无密码身份验证功能,并且在GitHub.com上移除所有第三方的关注Cookie,而且也推出多项功能,让开发人员可以在开发周期里,更早的发现漏洞,像是秘密扫描(Secret Scanning)以及CodeQL,扮演重要的护栏角色,助开发者减少意外事件或是搬移漏洞。
密码扫描可以搜索存储库中的敏感信息,像是加密密钥、访问权限和密码等,当GitHub发现这些敏感信息,就会立即通知相关服务并且加以撤销,避免恶意人士滥用。而CodeQL分析引擎则提供程序代码安全扫描服务,可以找出程序代码的漏洞,在应用程序正式投入生产前,就能发现安全漏洞。
另外,GitHub也在去年推出无密码认证功能,鼓励开发人员采用访问权限和生物识别技术之类的认证方法,通过减少账号密码的使用,可以减少个人密码被窃取,或是软件程序代码未经授权访问的几率。
Mike Hanley在安全公司Duo Security和大型企业思科的程序开发经验,告诉他安全性并不会破坏好的设计和以用户为中心的方法,反而可以使得企业走得更快更远,他提到,过去GitHub的这些安全性功能,对开发者来说有着关键的重要性,也将会成为GitHub往后增长与投资的基础。
- 用户评论
