GitHub 將爲使用有漏洞開源庫的開發者提供警告信息

衆所周知,如今開發軟件已經變得不難,由於如今軟件項目一般使用大量的依賴庫。開發者雖然很是容易開發項目,簡單而又方便了,可是一旦上游庫有 Bug 將會影響到下游軟件。程序員

如今最大的開源軟件開發平臺 GitHub 宣佈了安全警告服務,將搜索依賴尋找已知漏洞而後發送給開發者,以便幫助開發者儘量快的打上補丁修復漏洞。GitHub 將會識別全部使用受影響依賴的公開項目,使用私有庫的項目則須要選擇加入才能使用安全警告服務。
安全


最近,GitHub 在 」Insights」 板塊推出了 「依賴圖 (Dependency Graph)」 功能,「依賴圖」 這個新功能旨在提醒開發人員其項目依賴中出現了缺陷。該功能已爲公共庫自動啓用,不過爲私有庫設置爲可選項。當檢測到項目中使用了易受攻擊的庫時,「依賴圖」 中會展現一則 「已知安全漏洞」 警告信息。管理人員也能夠配置郵件警告信息、網絡提醒以及經由用戶界面的警告信息,並且他們能夠增長可看到該警告信息的團隊和成員名單。

GitHub 經過追蹤 CVE 列表中 Ruby gems 和 NPM 包中的缺陷來識別易受攻擊的項目。當添加一個新缺陷後,GitHub 會識別出全部使用受影響版本的庫並通知其全部者。當 GitHub 檢測出您潛在的漏洞時,GitHub 將顯示建議更新的依賴關係。若是存在已知的安全版本,咱們將選擇一個使用機器學習和公開可用的數據,並將其包含在咱們的建議中。網絡

目前 GitHub 追蹤的漏洞是已分配 CVE 編號的漏洞,不過因爲不少公開披露的缺陷並不具備該編號,所以 GitHub 公司將嘗試警告這類不具有 CVE 編號的缺陷。GitHub 表示,隨着安全數據的增長,公司會在識別漏洞方面作得更好。機器學習

這是使用世界上最大的開源數據集合的下一步,能夠儘可能幫助咱們保持代碼安全。依賴關係圖和安全警報目前僅支持 JavaScript 和 Ruby,將在 2018 年提供 Python 支持。學習

歡迎你們關注個人公衆號:非著名程序員。特別聲明:未經容許,禁止任何形式的轉載!3d

相關文章
相關標籤/搜索