中国领先的IT技术网站
|
|

GitHub 将警告开发者流行软件库的漏洞

现在最大的开源软件开发平台 GitHub 宣布了安全警告服务,将搜索依赖寻找已知漏洞然后通过开发者,以便帮助开发者尽可能快的打上补丁修复漏洞。

作者:佚名来源:开源中国|2017-11-20 10:09

开发者大赛路演 | 12月16日,技术创新,北京不见不散


今天的软件项目通常有大量的依赖库,而上游库的漏洞将会影响到下游软件。现在最大的开源软件开发平台 GitHub 宣布了安全警告服务,将搜索依赖寻找已知漏洞然后通过开发者,以便帮助开发者尽可能快的打上补丁修复漏洞。GitHub 将会识别所有使用受影响依赖的公开项目,使用私有库的项目则需要选择加入才能使用安全警告服务。

当你启用你的依赖关系图后,检测到您的某个依赖关系中的漏洞,GitHub 会提醒你修复已知的程序漏洞。

如何使用安全警报

无论您的项目是私有还是公共,安全警报都会为团队中的人员提供重要的漏洞信息。

启用您的依赖关系图

公共存储库将自动启用依赖关系图和安全警报。对于私人存储库,您需要在存储库设置中选择安全警报,或者允许访问存储库“Insights”选项卡的“依赖关系”图表部分。

设置通知首选项

启用依赖关系图后,管理员将默认收到安全警报。管理员还可以在依赖关系图中,设置将团队或个人添加为安全警报的收件人。

回应警报

当 GitHub 检测出您潜在的漏洞时,GitHub将显示建议更新的依赖关系。如果存在已知的安全版本,我们将选择一个使用机器学习和公开可用的数据,并将其包含在我们的建议中。

漏洞覆盖

具有CVE ID的漏洞(来自国家漏洞数据库的公开披露的漏洞)将包含在安全警报中。但是,并非所有漏洞都具有CVE ID,甚至许多公开披露的漏洞也没有。随着安全数据的增长,我们将继续更好地识别漏洞。

这是使用世界上最大的开源数据收集的下一步,可以尽量帮助您保持代码安全。依赖关系图和安全警报目前支持JavaScript和Ruby,并在2018年提供Python支持。

详细了解安全警报

编译自:GitHub

【编辑推荐】

  1. 开发者社区 Stack Overflow 大规模裁员 占比 20%
  2. MINIX悄然成最流行系统:暗藏核弹级漏洞
  3. 谷歌发布了修复 KRACK WPA2 漏洞的 Android 补丁
  4. Tor 浏览器存在严重漏洞 或泄露用户真实 IP 地址
  5. PostgreSQL 六版齐发,修复安全漏洞
【责任编辑:张燕妮 TEL:(010)68476606】

点赞 0
分享:
大家都在看
猜你喜欢
24H热文
一周话题
本月最赞

读 书 +更多

计算机网络安全

本书从计算机网络安全的概念入手,分析了单机节点、单一网络、互联网络和开放互联网络的基本安全问题,并对计算机网络安全体系架构和安全机...

订阅51CTO邮刊

点击这里查看样刊

订阅51CTO邮刊
× 51CTO学院双十二活动