原始碼代管平台GitHub 全面開放免費原始碼掃描服務

編譯/鄭智懷

微軟(Microsoft)旗下的原始碼代管平台 GitHub在本周五公告調整公司營運政策,在2023年1月將原先僅開放給企業用戶的原始碼掃描服務,轉為免費提供給所有申請的用戶。使用該服務的用戶將可得知其原始碼是否有遭外洩的風險。

據GitHub的統計,該公司在2022年以來,已經向參與「秘密掃描合作夥伴計劃」的成員通報超過170萬筆託管在其名下資料庫的原始碼可能有導致資料外洩風險。該計劃使用全球兩百種以上的「通行證」(token)格式,或是客戶自行設定的格式掃描託管的原始碼,接著提醒合作夥伴是否有潛在的外洩可能。

Uber旗下的美國外送平台Postmates安全工程師David Ross指出,私下的掃描工作有助於公司解決大量的資安問題,「在App的資安領域,這也是發現程式碼問題的最佳方案。」

圖/123RF

據GitHub公告,用戶在該公司於2023年1月原始碼託管與掃描服務全面開放後,只要在GitHub的安全設定開啟功能,即可使用該項服務。這也意味著用戶即使未參與「秘密掃描合作夥伴計劃」,只要將原始碼交由GitHub託管,即可在沒有合作夥伴通知的情況下收到有關原始碼的警報。

目前,除了GitHub提供掃描託管的原始碼以了解其中是否存有外洩風險的服務外,尚有Gitleaks等線上掃描工具,以及Nightfall和 CheckPoint 旗下的Spectral等資安公司提供類似的服務。不過,GitHub是當前唯一向所有用戶,而非僅限於向企業開放者。

資料來源:TechCrunch

瀏覽 856 次

覺得不錯的話就分享出去吧!

發佈留言

Back to top button