GitHub thêm cảnh báo bảo mật cho Java và .NET

GitHub hôm nay thông báo rằng hãng đã mở rộng tính năng cảnh báo lỗ hổng bảo mật dành cho cả code trong Java và .NET. Kho lưu trữ mã và là một nền tảng mã hóa xã hội gần đây được Microsoft mua lại đã giới thiệu tính năng này vào năm ngoái, ban đầu bao gồm JavaScript và Ruby với Python đã được thêm vào đầu năm nay.

Kathy Simpson, senior director của quản lý sản phẩm tại GitHub, đã công bố kế hoạch của mình tại hội nghị GitHub Universe hàng năm, được tổ chức tuần này tại Palace of Fine Arts ở San Francisco. Những cảnh báo bảo mật được thiết kế để giúp các nhà phát triển dễ dàng theo dõi dự án mà code của họ phụ thuộc vào thông qua biểu đồ “dependency graph”. Với “dependency graph” được kích hoạt, GitHub sẽ thông báo cho các nhà phát triển khi một lỗ hổng được phát hiện trong một trong những dependencies đó. Ngoài ra, nó còn đưa ra các bản sửa lỗi đã được thực hiện bởi từ cộng đồng GitHub.

GitHub định nghĩa “lỗ hổng” là “một vấn đề trong code của một dự án có thể bị khai thác để làm hỏng tính bảo mật, tính toàn vẹn hoặc tính khả dụng của dự án hoặc các dự án khác sử dụng code của nó”.

Các lỗ hổng đã được phát hiện và công khai từ Cơ sở dữ liệu National Vulnerability Database (CVE IDs) cũng được bao gồm trong các cảnh báo bảo mật. Tuy nhiên, Miju Han, giám đốc kỹ thuật, khoa học dữ liệu và phân tích tại GitHub, đã cảnh báo trong một bài đăng blog rằng không phải tất cả các lỗ hổng đều được liệt kê trong ID CVE. Ngay cả nhiều lỗ hổng nổi tiếng ” – cô viết – “để cải thiện thì chúng ta sẽ cần thêm nhiều tài liệu bảo mật…. Đây là lí do cho việc sử dụng Github – nơi chứa lượng open source data lớn nhất thế giới. “

GitHub quét dữ liệu trong các public commit và sử dụng machine learning và đánh giá của con người để phát hiện các lỗ hổng không có trong danh sách CVE.

Công ty cũng giới thiệu API tư vấn bảo mật GitHub, chuyên thu thập dữ liệu về lỗ hổng phần mềm và làm cho dữ liệu có sẵn ở định dạng có thể đọc được bởi máy tính, do đó nhà phát triển sẽ có được thông tin về lỗi cũng như các bản vá ngay lập tức cho dự án của họ.

GitHub đã triển khai một số cải tiến nền tảng chính, bao gồm: GitHub Actions, cho phép người dùng GitHub tự động hóa quá trình di chuyển code giữa các bước khác nhau trong quy trình làm việc phần mềm của họ; và Suggested Changes, cho phép cộng tác viên đề xuất thay đổi code thông qua nhận xét nội tuyến (inline comment) trong pull request. Song song đó, Github cũng đã tung ra ba khóa học mới cho Learning Lab, bao gồm các quy trình phát triển an toàn với GitHub, review pull request và cách bắt đầu với GitHub.

Microsoft đã công bố kế hoạch mua lại GitHub, sau khi tuyên bố rằng nền tảng của hãng được 31 triệu nhà phát triển sử dụng, mùa hè này với giá 7,5 tỷ USD. Khi hoàn thành việc mua lại, Github sẽ trở thành một phần của đơn vị Microsoft Intelligent Cloud. CEO của Microsoft, Satya Nadella, đã hứa với GitHub rằng sẽ không thiên vị Microsoft, và sẽ tiếp tục là một nền tảng mở hoạt động với tất cả các dịch vụ cloud công cộng.

Techtalk via adtmag