GitHub设立安全长，承诺持续投资安全性工具与功能

开源平台GitHub任命前思科资讯安全长Mike Hanley为第一任安全长（Chief Security Officer），以保护软件供应链的安全。Mike Hanley亲自在GitHub部落格上宣布了这项消息，而作为第一任安全长，他承诺会进一步投资安全程式码开发工具，让开发人员可以更简单地找出漏洞并且修复，也会在GitHub加入更多安全功能，保护专案储存库不受恶意人士攻击。

Mike Hanley提到，全世界的软件有一大部分是开源软件，而其中更有很大一部分在GitHub上开发。微软在2018年的时候，以75亿美元收购了GitHub，其实行开发者优先安全策略，投资包括无密码身份验证功能，并且在GitHub.com上移除所有第三方的追踪Cookie，而且也推出多项功能，让开发人员可以在开发周期里，更早的发现漏洞，像是秘密扫描（Secret Scanning）以及CodeQL，扮演重要的护栏角色，助开发者减少意外事件或是搬移漏洞。

密码扫描可以搜寻储存库中的敏感资讯，像是加密金钥、存取权杖和密码等，当GitHub发现这些敏感资讯，就会立即通知相关服务并且加以撤销，避免恶意人士滥用。而CodeQL分析引擎则提供程式码安全扫描服务，可以找出程式码的漏洞，在应用程序正式投入生产前，就能发现安全漏洞。

另外，GitHub也在去年推出无密码认证功能，鼓励开发人员采用存取权杖和生物辨识技术之类的认证方法，透过减少账号密码的使用，可以减少个人密码被窃取，或是软件程式码未经授权存取的概率。

Mike Hanley在资安公司Duo Security和大型企业思科的程式开发经验，告诉他安全性并不会破坏好的设计和以用户为中心的方法，反而可以使得企业走得更快更远，他提到，过去GitHub的这些安全性功能，对开发者来说有着关键的重要性，也将会成为GitHub往后成长与投资的基础。