眾所周知,現(xiàn)在開發(fā)軟件已經(jīng)變得不難舷嗡,因為現(xiàn)在軟件項目通常使用大量的依賴庫轴猎。開發(fā)者雖然非常容易開發(fā)項目,簡單而又方便了进萄,但是一旦上游庫有 Bug 將會影響到下游軟件捻脖。
現(xiàn)在最大的開源軟件開發(fā)平臺 GitHub 宣布了安全警告服務,將搜索依賴尋找已知漏洞然后發(fā)送給開發(fā)者中鼠,以便幫助開發(fā)者盡可能快的打上補丁修復漏洞可婶。GitHub 將會識別所有使用受影響依賴的公開項目,使用私有庫的項目則需要選擇加入才能使用安全警告服務援雇。
最近矛渴,GitHub 在 ”Insights” 板塊推出了 “依賴圖 (Dependency Graph)” 功能,“依賴圖” 這個新功能旨在提醒開發(fā)人員其項目依賴中出現(xiàn)了缺陷惫搏。該功能已為公共庫自動啟用具温,不過為私有庫設置為可選項。當檢測到項目中使用了易受攻擊的庫時筐赔,“依賴圖” 中會展示一則 “已知安全漏洞” 警告信息铣猩。管理人員也可以配置郵件警告信息、網(wǎng)絡提醒以及經(jīng)由用戶界面的警告信息川陆,而且他們可以增加可看到該警告信息的團隊和成員名單剂习。
GitHub 通過追蹤 CVE 列表中 Ruby gems 和 NPM 包中的缺陷來識別易受攻擊的項目。當添加一個新缺陷后较沪,GitHub 會識別出所有使用受影響版本的庫并通知其所有者鳞绕。當 GitHub 檢測出您潛在的漏洞時,GitHub 將顯示建議更新的依賴關系尸曼。如果存在已知的安全版本们何,我們將選擇一個使用機器學習和公開可用的數(shù)據(jù),并將其包含在我們的建議中控轿。
目前 GitHub 追蹤的漏洞是已分配 CVE 編號的漏洞冤竹,不過由于很多公開披露的缺陷并不具有該編號,因此 GitHub 公司將嘗試警告這類不具備 CVE 編號的缺陷茬射。GitHub 表示鹦蠕,隨著安全數(shù)據(jù)的增加,公司會在識別漏洞方面做得更好在抛。
這是使用世界上最大的開源數(shù)據(jù)集合的下一步钟病,可以盡量幫助我們保持代碼安全。依賴關系圖和安全警報目前僅支持 JavaScript 和 Ruby刚梭,將在 2018 年提供 Python 支持肠阱。
