GitHub秘密扫描功能正式开放供私人存储库使用

GitHub向用户推出了两个安全功能更新,一个是针对组织和团队的安全性概览功能,供管理员以高层次查看每个存储库中存在的安全风险,另一个则是开放私人存储库使用秘密扫描功能。

虽然GitHub安全功能,提供开发者不少有用的工具,来寻找并且修复应用程序的安全风险,但是当管理员需要负责数百或是数千个存储库时,这项工作就变得棘手,GitHub现在让用户可以在同一个位置,查看程序代码扫描、相依机器人程序和秘密扫描,所找到的应用程序安全风险,安全概览功能会显示已知的安全风险,以及因未适当配置而产生的未知风险。

管理员可以从组织中的安全性分页,来查看已激活的GitHub安全功能,并且深入了解安全分析结果,该分页会根据活动警示的数量和严重性,替每个存储库指定一个风险类别,让用户可以在查看大量存储库时一目了然优先度,知道该先从何处下手。

使用过滤器功能,用户可以仅关注重点存储库,并且可以查看各个存储库的详细安全信息,包括风险类别、已激活的安全功能,还有存在的警示数量。GitHub提到,无论是对开发人员还是经理来说,了解所负责的存储库很重要,当组织以团队来管理存储库访问,则GitHub会向所有团队成员,提供这些详细安全信息。

另一项安全性更新,则是私人存储库现在也可以使用秘密扫描,GitHub在2020年5月开放秘密扫描Beta测试版,而现在已于GitHub Enterprise Cloud上提供,并预计GitHub Enterprise Server 3.1也会加入秘密扫描功能,秘密扫描功能包括可扫描35个服务权限,并且提供用于秘密扫描警示的API和Webhooks,当开发者提交包含秘密的内容时,系统会向开发者和管理员发送通知。

发表评论