GitHub 新增代码安全工具并开通打赏功能

 聚焦源代码安全，网罗国内外最新资讯！

编译：奇安信代码卫士团队

上周四，GitHub 宣布推出多个新的安全工具和功能，旨在帮助开发人员保护代码的安全。另外，GitHub 推出打赏功能 Sponsor，可打赏开发人员，为开源社区做贡献。

2017年，GitHub 曾推出一项新的安全功能，当开发人员项目所使用的软件库中含有任何已知漏洞时，会通知卡法人员。之后受影响代码库的数量大幅下降，如今 GitHub 又联合 WhiteSource 推出更多安全增强功能。双方的合作拓宽了开源项目中安全缺陷的覆盖范围，并能够提供更多详情，帮助开发人员评估并解决漏洞问题。

另外一款新工具是 Dependency Insights，帮助企业对包括漏洞和许可证的依赖关系获得全部可见性，并且更好地理解依赖关系的暴露问题。

GitHub 还宣布推出令牌扫描器，可扫描公开库中并非出于不慎而提交的令牌。该服务可检测阿里巴巴云、AWS、Azure、GitHub、谷歌云、Slack、Mailgun、Twilio 和 Stripe 被暴露的凭证。

GitHub 还表示收购 Dependabot 管理工具，帮助 GitHub 用户将依赖关系更新至最新状态。铜鼓欧集成 Dependabot，可监控项目依赖关系的漏洞并包含补丁的拉取请求将会自动打开。

GitHub 做出的其它改进措施解决的问题是，多数开源项目并没有专门的安全团队处理漏洞报告，因此该平台推出了维护人员安全公告测试版，为项目维护人员提供了讨论并修复漏洞以及发布安全公告的私有场地。

另外，维护人员可为想要报告漏洞的个人开发安全策略。组织机构能够创建适用于所有仓库的整个安全策略。

另外，GitHub 还推出了 Sponsor 功能，为构建开源软件的开发人员提供资金支持。个人可为开源项目的开发人员打赏。GitHub在至少一年内不会收取任何支付流程手续费，开发人员获得所有赞赏款项。另外，该平台推出 GitHub Sponsors Matching Fund 项目（GitHub 赞赏匹配资金）在开发人员的受赞赏的第一年内，GitHub 也会授予最高5000美元的奖金。另外，非技术人员如文档编写人员、设计等等人员均可申请赞赏。

原文链接

https://www.securityweek.com/github-adds-new-tools-help-developers-secure-code

https://github.blog/2019-05-23-announcing-github-sponsors-a-new-way-to-contribute-to-open-source/

题图：GitHub

本文由奇安信代码卫士编译，不代表奇安信观点，转载请注明“转自奇安信代码卫士 www.codesafe.cn”。