衆所周知,如今開發軟件已經變得不難,由於如今軟件項目一般使用大量的依賴庫。開發者雖然很是容易開發項目,簡單而又方便了,可是一旦上游庫有 Bug 將會影響到下游軟件。程序員
如今最大的開源軟件開發平臺 GitHub 宣佈了安全警告服務,將搜索依賴尋找已知漏洞而後發送給開發者,以便幫助開發者儘量快的打上補丁修復漏洞。GitHub 將會識別全部使用受影響依賴的公開項目,使用私有庫的項目則須要選擇加入才能使用安全警告服務。
安全
GitHub 經過追蹤 CVE 列表中 Ruby gems 和 NPM 包中的缺陷來識別易受攻擊的項目。當添加一個新缺陷後,GitHub 會識別出全部使用受影響版本的庫並通知其全部者。當 GitHub 檢測出您潛在的漏洞時,GitHub 將顯示建議更新的依賴關係。若是存在已知的安全版本,咱們將選擇一個使用機器學習和公開可用的數據,並將其包含在咱們的建議中。網絡
目前 GitHub 追蹤的漏洞是已分配 CVE 編號的漏洞,不過因爲不少公開披露的缺陷並不具備該編號,所以 GitHub 公司將嘗試警告這類不具有 CVE 編號的缺陷。GitHub 表示,隨着安全數據的增長,公司會在識別漏洞方面作得更好。機器學習
這是使用世界上最大的開源數據集合的下一步,能夠儘可能幫助咱們保持代碼安全。依賴關係圖和安全警報目前僅支持 JavaScript 和 Ruby,將在 2018 年提供 Python 支持。學習
歡迎你們關注個人公衆號:非著名程序員。特別聲明:未經容許,禁止任何形式的轉載!3d