今天的軟件項目通常有大量的依賴庫,而上游庫的漏洞將會影響到下游軟件∠灰現(xiàn)在最大的開源軟件開發(fā)平臺 GitHub 宣布了安全警告服務隐圾,將搜索依賴尋找已知漏洞然后通過開發(fā)者邓夕,以便幫助開發(fā)者盡可能快的打上補丁修復漏洞。GitHub 將會識別所有使用受影響依賴的公開項目顷链,使用私有庫的項目則需要選擇加入才能使用安全警告服務目代。
當你啟用你的依賴關系圖后,檢測到您的某個依賴關系中的漏洞嗤练,GitHub 會提醒你修復已知的程序漏洞榛了。
如何使用安全警報
無論您的項目是私有還是公共,安全警報都會為團隊中的人員提供重要的漏洞信息煞抬。
啟用您的依賴關系圖
公共存儲庫將自動啟用依賴關系圖和安全警報霜大。對于私人存儲庫,您需要在存儲庫設置中選擇安全警報革答,或者允許訪問存儲庫“Insights”選項卡的“依賴關系”圖表部分战坤。
設置通知首選項
啟用依賴關系圖后,管理員將默認收到安全警報蝗碎。管理員還可以在依賴關系圖中湖笨,設置將團隊或個人添加為安全警報的收件人。
回應警報
當 GitHub 檢測出您潛在的漏洞時蹦骑,GitHub將顯示建議更新的依賴關系慈省。如果存在已知的安全版本,我們將選擇一個使用機器學習和公開可用的數(shù)據(jù),并將其包含在我們的建議中边败。
漏洞覆蓋
具有CVE ID的漏洞(來自國家漏洞數(shù)據(jù)庫的公開披露的漏洞)將包含在安全警報中袱衷。但是,并非所有漏洞都具有CVE ID笑窜,甚至許多公開披露的漏洞也沒有致燥。隨著安全數(shù)據(jù)的增長,我們將繼續(xù)更好地識別漏洞排截。
這是使用世界上最大的開源數(shù)據(jù)收集的下一步嫌蚤,可以盡量幫助您保持代碼安全。依賴關系圖和安全警報目前支持JavaScript和Ruby断傲,并在2018年提供Python支持脱吱。
編譯自:GitHub
