微軟發布 GitHub Advanced Security for Azure DevOps 公共預覽版

作為微軟Build 2023 開發者大會的一部分，該公司宣布推出了 GitHub Advanced Security for Azure DevOps 的公共預覽版。微軟於 2022 年 10 月首次宣布 GitHub Advanced Security 將用於 Azure DevOps，並於 2022 年 11 月推出私人預覽版。

微軟在博客文章中說：

GitHub Advanced Security for Azure DevOps 為 Azure DevOps 帶來了與 GitHub Advanced Security 相同的行業領先的開發人員安全功能，直接集成到 Azure Repos 和 Azure Pipelines 中。這包括 GitHub Enterprise 中可用的相同秘密掃描、依賴項掃描和 CodeQL 代碼掃描功能。

秘密掃描功能對於害怕暴露秘密憑據的開發人員來說應該是一個巨大的幫助。博客文章稱，所有安全漏洞中有 50% 是由於憑據暴露造成的。

使用 GitHub Advanced Security for Azure DevOps 中的功能可以找到任何以前發布的秘密，但也可以在它們洩露之前阻止它們。它指出：

根據秘密的使用範圍，這可能需要數天的努力和壓力——如果您錯過了僅在其中一個使用秘密的地方輪換秘密，您可能會導致實時站點中斷！另一方面，如果您在推送時阻止秘密公開，則在它持久保存在 Azure Repos 中之前，清理您的提交和重新推送是一項五分鐘的工作。容易多了。

新的 GitHub 服務還可以通過依賴掃描功能發現任何開源包漏洞。此外，它使用 CodeQL 靜態分析引擎讓開發者從各種代碼語言中發現數百個安全問題。

GitHub Advanced Security for Azure DevOps 的計費是通過 Azure 處理的。每個活躍的提交者每月花費 49 美元。感興趣的客戶現在可以在其官方網站上註冊公開預覽。