開源平臺GitHub任命前思科資訊安全長Mike Hanley為第一任安全長(Chief Security Officer),以保護軟體供應鏈的安全。Mike Hanley親自在GitHub部落格上宣布了這項消息,而作為第一任安全長,他承諾會進一步投資安全程式碼開發工具,讓開發人員可以更簡單地找出漏洞並且修復,也會在GitHub加入更多安全功能,保護專案儲存庫不受惡意人士攻擊。

Mike Hanley提到,全世界的軟體有一大部分是開源軟體,而其中更有很大一部分在GitHub上開發。微軟在2018年的時候,以75億美元收購了GitHub,其實行開發者優先安全策略,投資包括無密碼身份驗證功能,並且在GitHub.com上移除所有第三方的追蹤Cookie,而且也推出多項功能,讓開發人員可以在開發周期裡,更早的發現漏洞,像是秘密掃描(Secret Scanning)以及CodeQL,扮演重要的護欄角色,助開發者減少意外事件或是搬移漏洞。

密碼掃描可以搜尋儲存庫中的敏感資訊,像是加密金鑰、存取權杖和密碼等,當GitHub發現這些敏感資訊,就會立即通知相關服務並且加以撤銷,避免惡意人士濫用。而CodeQL分析引擎則提供程式碼安全掃描服務,可以找出程式碼的漏洞,在應用程式正式投入生產前,就能發現安全漏洞。

另外,GitHub也在去年推出無密碼認證功能,鼓勵開發人員採用存取權杖和生物辨識技術之類的認證方法,透過減少帳號密碼的使用,可以減少個人密碼被竊取,或是軟體程式碼未經授權存取的機率。

Mike Hanley在資安公司Duo Security和大型企業思科的程式開發經驗,告訴他安全性並不會破壞好的設計和以用戶為中心的方法,反而可以使得企業走得更快更遠,他提到,過去GitHub的這些安全性功能,對開發者來說有著關鍵的重要性,也將會成為GitHub往後成長與投資的基礎。


報名台灣唯一超規格資安盛會

熱門新聞


Advertisement