GitHub 將爲使用有漏洞開源庫的開發者提供警告信息

衆所周知，如今開發軟件已經變得不難，由於如今軟件項目一般使用大量的依賴庫。開發者雖然很是容易開發項目，簡單而又方便了，可是一旦上游庫有 Bug 將會影響到下游軟件。

如今最大的開源軟件開發平臺 GitHub 宣佈了安全警告服務，將搜索依賴尋找已知漏洞而後發送給開發者，以便幫助開發者儘量快的打上補丁修復漏洞。GitHub 將會識別全部使用受影響依賴的公開項目，使用私有庫的項目則須要選擇加入才能使用安全警告服務。

最近，GitHub 在 」Insights」 板塊推出了 「依賴圖 (Dependency Graph)」 功能，「依賴圖」 這個新功能旨在提醒開發人員其項目依賴中出現了缺陷。該功能已爲公共庫自動啓用，不過爲私有庫設置爲可選項。當檢測到項目中使用了易受攻擊的庫時，「依賴圖」 中會展現一則 「已知安全漏洞」 警告信息。管理人員也能夠配置郵件警告信息、網絡提醒以及經由用戶界面的警告信息，並且他們能夠增長可看到該警告信息的團隊和成員名單。

GitHub 經過追蹤 CVE 列表中 Ruby gems 和 NPM 包中的缺陷來識別易受攻擊的項目。當添加一個新缺陷後，GitHub 會識別出全部使用受影響版本的庫並通知其全部者。當 GitHub 檢測出您潛在的漏洞時，GitHub 將顯示建議更新的依賴關係。若是存在已知的安全版本，咱們將選擇一個使用機器學習和公開可用的數據，並將其包含在咱們的建議中。

目前 GitHub 追蹤的漏洞是已分配 CVE 編號的漏洞，不過因爲不少公開披露的缺陷並不具備該編號，所以 GitHub 公司將嘗試警告這類不具有 CVE 編號的缺陷。GitHub 表示，隨着安全數據的增長，公司會在識別漏洞方面作得更好。

這是使用世界上最大的開源數據集合的下一步，能夠儘可能幫助咱們保持代碼安全。依賴關係圖和安全警報目前僅支持 JavaScript 和 Ruby，將在 2018 年提供 Python 支持。

歡迎你們關注個人公衆號：非著名程序員。特別聲明：未經容許，禁止任何形式的轉載！