GitHub Releadot 警示开发者留意易受攻击的 GitHub 操作

Hackernews 编译，转载请注明出处：

云代码托管平台GitHub宣布，它将为易受攻击的GitHub Actions发送Dependabot警报，以帮助开发人员修复CI/CD工作流程中的安全问题。

GitHub的Brittany O’Shea和Kate Catlin说：“在行动中报告安全漏洞时，我们的安全研究团队会创建一个文件来记录该漏洞，这会触发对受影响存储库的警报。”

GitHub Actions是一种持续集成和持续交付（CI/CD）解决方案，使用户能够自动执行软件生成、测试和部署管道。

Dependabot是微软旗下子公司的一部分，通过通知用户其源代码依赖于具有安全漏洞的软件包，并帮助所有依赖项保持最新状态，来确保软件供应链的安全。

最新举措需要接收有关GitHub操作和影响开发人员代码的漏洞的警报，用户还可以选择通过遵守一致的披露流程，提交特定GitHub操作的建议。

该公司指出：“这些改进加强了GitHub和我们用户的安全态势，这就是为什么我们继续投资收紧GitHub供应链安全解决方案和GitHub Actions之间的连接点，从而提高构建的安全性。”

本周早些时候，GitHub开放了一个新的评论系统，允许软件包维护人员能够与Sigstore合作签署和验证发布到NPM的软件包。

消息来源：TheHackerNews，译者：Shirley；
本文由 HackerNews.cc 翻译整理，封面来源于网络；
转载请注明“转自 HackerNews.cc ” 并附上原文