随着对Semmle的收购,GitHub宣布了一些改进,旨在使维护人员和开发人员更容易修复和防止漏洞。这包括创建安全警告并直接从GitHub UI分配CVE编号。
正如GitHub高级副总裁Niyogi Shanku所言,当项目维护者或任何具有存储库管理特权的人发现漏洞时,他们现在都可以创建一个安全警告草案,提供了一个私有区域来讨论和修复漏洞。对于任何类型的存储库,不管是私有的还是公开的,安全警告都是私有的,并且能够精细控制哪些协作者可以访问。
最重要的是,安全警告允许创建存储库的临时私有分支,使开发人员能够开发修复程序,而不必冒着事前将敏捷信息向外部人员提供的风险。要保证这一点,就不能通过持续集成任务或其他集成访问临时私有分支。
所有提到的特性都被分组在GitHub UI新增的Security选项卡下,包括创建安全警告、创建临时私有分支、创建pull请求,并将其合并到主分支中。
