GitHub Security

GitHub 宣布增加一些新的特性,旨在帮助开发者保护其代码,包括能够针对需要为包含安全补丁而更新的依赖创建 PR,支持与 WhiteSource 数据集成,以增强漏洞评估和增进对依赖关系的理解。

Automated security fixes with Dependabot

“虽然安全漏洞报警给用户提供了信息来保护其项目,行业数据显示,超过 70% 的漏洞在被发现 30 天后仍然没有打补丁,甚至有些 1 年后都还没打补丁。”

Dependabot 能够扫描项目的依赖关系,发现其中的所有漏洞,并且自动为每一个漏洞创建 PR

Open source security

References