超级会员免费看
保障代码安全:GitHub 工具助力软件供应链安全
1. 软件供应链安全的重要性
在 2016 年,即时通讯服务 Kik 与开源贡献者 Azer Koçulu 之间关于“Kik”名称的纠纷,导致 Azer 从 npm 注册表中撤回了他所有的包,其中包含一个名为“left - pad”的简单模块,该模块仅有 11 行代码:
module.exports = leftpad;
function leftpad (str, len, ch) {
str = String(str);
var i = -1;
if (!ch && ch !== 0) ch = ' ';
len = len - str.length;
while (++i < len) {
str = ch + str;
}
return str;
}
尽管这个功能简单,每个开发者都能自己编写,但它被集成到了像 React 这样的全球使用的框架中。由于这个包的缺失,几乎导致互联网瘫痪。如今的软件依赖于众多不同的软件,如工具、包、框架、编译器和语言等,每个都有自己的依赖树。因此,确保整个软件供应链的安全性和许可证合规性至关重要。
2. GitHub 高级安全功能概述
许多功能需要购买 GitHub 高级安全许可证才能在 GitHub Enterprise 中使用,部分功能对开源项目免费。若某些功能在组织中不可用,可能是未获取相应许可证。关键功能包括:
- 依赖管理和 Dependabot
- 秘密扫描
- 代
订阅专栏 解锁全文
扫一扫
933
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
