GitHub已经决定在它的年度GitHub宇宙大会上发布一系列的公告，来展示它是一个一站式的代码安全商店。

 

GitHub已经绘制了一个它认为非常有用的工作流程，天辰测速天辰登录它可以帮助不同的安全人员——开发人员、安全研究人员、供应链合作伙伴、漏洞数据库提供商等等——共同编写和维护安全代码。然后，它构建了功能和工具，在某些情况下还收购了一些公司，以满足这些用户的需求，并提供所有以GitHub为中心的平台功能。

 

开放源码生态系统是现代软件的基础，人们对它给予了特别的关注。GitHub并没有采用逐点的方法，而是采用了一种更全面的观点，在这种观点中，大量的个人特性或工具仍然适用于更广泛的安全管理方式。

 

GitHub首席执行官Nat Friedman说:“这是一个生态系统层面的问题，从开源开发者到开源维护者，再到安全研究员，再到使用开源的公司安全团队的开发人员。”“在这个生态系统中，能够把所有这些因素结合起来解决这个问题的参与者非常少。”

 

为了将所有这些不同的玩家聚集在其产品上，GitHub已经发布了大量专注于安全的产品。

 

安全实验室是GitHub的合作中心。它的目标是为安全研究人员、软件维护者和合作伙伴公司提供一个会议场所，并关注于开放源码软件。由于现在很多开源软件都托管在GitHub上，所以对GitHub来说，这是一件合乎逻辑的事情。

 

2019年“黑色星期五”之前，亚马逊、梅西百货等商家会推出房屋促销活动

 

CodeQL于2019年9月收购Semmle，天辰平台登陆公司目前免费提供给开源开发人员和学术研究人员。其目标是建立一个CodeQL查询库，以自动方式检测安全缺陷。GitHub在一个漏洞奖励计划下创建了财务奖励，该计划有两个主要的奖励类别:单个漏洞和更广泛的、跨生态系统的漏洞类型。

 

GitHub增加了一种私下修复bug的方法(这样就不会过早地向坏人告密)，其中包括一个简化的工作流，用于申请一个通用的漏洞和暴露(CVE)号。针对已知漏洞的安全警报现在一般也提供给需要它们的repos，其中包括使用Dependabot (GitHub今年早些时候收购的另一家公司)修复漏洞的自动下拉请求(如果可能的话)。

 

一款适用于iOS和Android的新移动应用程序也简化了安全问题分类和拉请求合并的过程，该应用程序旨在提供与GitHub桌面或浏览器类似的体验，但针对移动表单因素进行了优化。虽然很少有人会在自己的手机或平板电脑上编写代码，但很多软件开发人员都可以管理任务、对代码进行注释，并在不需要重量级客户端的情况下操作主分支和合并流程。GitHub已经花了相当多的精力来让用户体验变得相似，不管你使用的是哪种访问方法。

 

这里有很多不同的组件，有些比其他的大，但是放在一起它们被设计成一个有凝聚力的整体。小的变化，比如通知的显示方式和CVE请求，支持更大的功能，比如CodeQL和漏洞公开。每一个组成部分都与其他部分协调工作，这样整体就超过了部分的总和。

 

GitHub的产品管理总监格雷•贝克(Grey Baker)表示:“我们非常清楚，保护软件安全需要研究人员与维护人员一起工作，然后与开发人员和最终用户一起工作。”“我们正在努力创造工具，至少让这成为可能。”

 

整体经验的一致性减少了以特定方式工作的摩擦，以至于它几乎成为无意识的。当你专注于工作和目标时，工具往往会消失，这显然是GitHub的意图。

 

虽然GitHub喜欢强调它希望为开发人员提供选择，但它显然想要让集成体验如此引人注目，以至于开发人员除了在GitHub上工作外，不会选择在任何地方工作。将这种经验扩展到信息安全领域会带来大量的新客户，如果我们想要拥有更安全的软件，这些客户的参与是非常必要的。