StepSecurity 的 pull request 功能已帮助超过 400 个公共仓库编排应用安全工具并强化 CI/CD 流水线。
我在四月份发帖介绍了 StepSecurity 的 pull request 功能如何帮助超过 300 个公共仓库采用安全开发实践。两个月后的现在,这一数字已突破 400!🎉
这 400 多个公共仓库中有 40 个拥有超过 1000 颗星 ⭐,充分说明重要开源项目对我们的信任,我们有能力帮助他们保护仓库安全。这些项目的列表可在此处找到:
以下是过去两个月内开发者使用我们的应用安全编排平台创建的三个自动 pull request 示例:
nuxt/nuxt 在 GitHub 上拥有超过 47K 颗星,是一种用 Vue 创建生产级全栈 Web 应用和网站的直观方式。Daniel Roe 是该项目的维护者之一,他使用 StepSecurity 实现了:
a. 设置最小权限的 GitHub Actions Token 权限
b. 固定依赖项
c. 添加依赖项审查工作流(用于软件组成分析)
d. 添加 OpenSSF Scorecard 工作流
ampproject/amphtml 在 GitHub 上拥有超过 14K 颗星,是一个 AMP Web 组件框架。Daniel Rozenberg 是该项目的维护者,他使用 StepSecurity 实现了:
a. 在 GitHub Actions 工作流中添加 StepSecurity Harden Runner
b. 固定依赖项
c. 更新 Dependabot 配置文件
d. 添加静态应用安全测试(SAST)工作流
e. 添加依赖项审查工作流(用于软件组成分析)
nodejs/undici 拥有超过 4,700 颗星,是一个从零开始为 Node.js 编写的 HTTP/1.1 客户端。Rafael Gonzaga 是该项目的维护者之一,同时也是 Node.js 安全工作组的成员,他使用 StepSecurity 实现了:
a. 设置最小权限的 GitHub Actions Token 权限
b. 固定依赖项
c. 更新 Dependabot 配置文件
d. 添加静态应用安全测试(SAST)工作流
e. 添加依赖项审查工作流(用于软件组成分析)
展望未来:新功能和私有仓库支持
以下是未来几个月我们计划的一些预览:
🔒扩展至私有仓库:我们很高兴地宣布,我们正在开发面向私有仓库的支持功能,采用与公共仓库用户所喜爱的相同用户体验设计。很快,您将能够分析私有仓库并使用我们的平台编排安全工具。您可以通过我们的网站在此处报名参与 beta 测试。
🛠️ 添加更多安全工具:我们听到了大家对更广泛安全功能的需求。我们正在积极集成更多工具:
a. 用于检查代码中秘密的 pre-commit 钩子和 linter(在代码被推送之前检测)
b. CI/CD 流水线中的 linter
c. 将使用长期存在的 CI/CD 密钥迁移到 GitHub Actions 工作流中 OIDC 的自动化
您可以在我们的开源项目中追踪这些功能的状态。
目前,我们支持编排 CodeQL、依赖项审查和 OpenSSF Scorecard 工作流,这些功能在私有仓库中需要 GitHub Advanced Security。我们的愿景是为您的私有仓库提供更多选择,以便您可以编排您一直在使用的工具。
令人兴奋的合作伙伴关系机会
在我们继续编排应用安全的旅程中,我们认识到与行业其他参与者合作的巨大潜力。我们的愿景是创建一个优化 DevSecOps 并为用户提供最全面安全解决方案的生态系统。
因此,我们向其他安全厂商敞开大门,寻求战略合作伙伴关系,特别是那些拥有免费供开源使用的 DevSecOps 工具并且可以通过 GitHub Actions 工作流集成的厂商。我们的目标是让我们的编排平台上和谐地整合各种安全工具,为用户提供最强大和灵活的安全选择。
如果您是安全厂商,拥有与我们使命一致的工具,我们很乐意与您合作,将其作为我们编排平台的一部分。
结语
StepSecurity 对安全开发实践产生了重大影响,已帮助超过 400 个公共仓库编排其安全工具并强化 CI/CD 流水线。我们的 pull request 功能已成为旨在加强安全态势的仓库的基石。
我们敦促您亲自体验 StepSecurity 的不同之处。如果您管理的是公共仓库,您可以立即试用 StepSecurity,了解我们的安全编排能为您的 CI/CD 流水线带来的改变。如果您有私有仓库,您可以预约实时演示与我们联系。StepSecurity 为您的私有项目提供无缝的安全导向体验。