为提高 SDLC 安全，GitHub 发布新功能｜GitHub Universe 2022

GitHub Universe 2022于上周举办。在此次大会上，Github 公布了开源软件状态的最新报告，报告中的统计数据显示，90% 的公司都在使用开源，现在 GitHub 上有9400万用户，2022 年有高达4.13亿次开源贡献。

如今世界正运行在开源之上，软件供应链已然成为当今最大的攻击媒介之一。如果不深入了解软件代码，企业可能永远无法知晓依赖项中所藏匿的漏洞。在之前的报告解读中，我们曾提及企业在软件供应链安全所面临的风险与挑战，同时也了解到三年内对开源存储库的攻击增加了742%。

为了帮助用户及企业保护软件开发生命周期（SDLC）的安全，GitHub 于11月9日在其平台上宣布了新的安全功能。其中包括私有漏洞报告、对 Ruby 编程语言的 CodeQL 漏洞扫描支持以及两个新的安全概述选项。GitHub 表示，这些更新将使开发人员能够更轻松、更无缝地保护 SDLC。

GitHub 推出私人漏洞报告

GitHub Universe 2022 是一个面向云、安全、社区和 AI 的全球开发者的大型活动。在此次大会上，GitHub 宣布了全新功能。第一个是私人漏洞报告，该漏洞报告旨在尽量减少使用不一致，且可能不安全的公共渠道向维护者报告漏洞，这样的私人漏洞报告安全性更高，更值得信赖。GitHub 认为，通过公开途径披露，恶意攻击者很有可能在维护者修复漏洞之前抢先利用，这在很大程度上造成了安全风险。而私人漏洞报告，是安全研究人员和开源维护者的协作解决方案，用于报告和修复开源存储库中的漏洞，为用户提供了一种便捷、标准化且私密的方式来报告、评估和解决漏洞。

另一个新的安全功能则是对 Ruby 编程语言的 CodeQL 支持，现在在默认情况下在 GitHub.com 代码扫描、CodeQL CLI 和 VS Code 的 CodeQL 扩展中普遍可用。GitHub 表示，添加此新功能能够使 CodeQL 用户可以轻松地在 GitHub 内查找、识别和修复其 Ruby 代码库中的漏洞。为了标记新功能，GitHub 安全实验室漏洞赏金计划将为前 10 个 CodeQL 查询提供 2000 美元的奖金，以测试用 Ruby 编写的得分高或关键的开源项目。

GitHub 还表示，他们添加了两个新视图选项，这能够为企业用户提供对其整个应用程序环境安全范围和风险映射的更大可见性和洞察力，帮助企业用户更好地了解补救工作的重点，在风险发生时将影响和损失降到最低。

为开发人员量身定制 SDLC 安全工具

GitHub 表示，软件中的大多数漏洞都是简单错误的结果，开发人员很难发现这些漏洞。而 GitHub 作为世界上最大的代码托管网站和开源社区，可以为超过9400万开发人员提供以开发人员为中心的安全工具，这些安全工具涵盖了三个最常见的漏洞来源：开发人员编写的代码、依赖的开源代码以及保护安全的凭据的系统。GitHub 的产品负责人补充说，和其他有合作的公司的开发团队相比，GitHub 的安全团队的人数通常以100 比1的比例远超过其他公司，这也说明 GitHub 一直在投入大量的资源来努力寻找并修复其产品中的所有漏洞。凭借庞大的用户群体，GitHub 拥有得天独厚的机会，可以通过开发为开发人员量身定制的安全功能来提高整个行业的安全性。

开发人员接受并使用 DevSecOps 安全工具，对于应用程序安全实践来说至关重要。如果 GitHub 能够在设计 DevSecOps 工具的时，充分考虑到开发人员和 DevOps 的工作流程和需求，同时将这些安全功能推广到开发人员在进行开发工作时能够触手可及，使用这些功能不会增加不必要的摩擦，并且可以让部署变得更加容易，那么开发人员将会更加乐意切开发地使用这些工具。虽然这些工具和实践无法完完全全解决开源安全的问题，但是能够让企业使用的开源组件更加安全。