GitHub 推出 Python 安全警告,识别依赖包的安全漏洞
GitHub宣布了Python安全警告,使Python用户可以访问依赖图,并在他们的库所依赖的包存在安全漏洞时收到警告。
- 作者:佚名来源:raincent|2018-08-03 09:18
GitHub宣布了Python安全警告,使Python用户可以访问依赖图,并在他们的库所依赖的包存在安全漏洞时收到警告。
安全警告首次发布是在2017年10月,为了跟踪Ruby和JavaScript程序包中的安全漏洞。据GitHub介绍,从那时起,数以百万计的漏洞被发现,推动了许多补丁的发布。
GitHub会根据MITRE的公共漏洞列表(CVE)来跟踪Ruby gems、NPM和Python程序包中的公共安全漏洞。CVE是一个条目列表;每个条目都包含一个标识号、一段描述以及至少一项公共参考。这非常有助于促使管理员快速响应、通过移除易受攻击的依赖或迁移到安全版本来修复漏洞。
当GitHub收到新发布的漏洞通知,它就会扫描公共库(已经选择加入的私有库也会被扫描)。当发现漏洞时,就会向受影响的库的所有者和有管理员权限的用户发送安全警告。在默认情况下,用户每周都会收到一封邮件,其中包含多达10个库的安全警告。用户也可以自己选择通过电子邮件、每日摘要电子邮件、Web通知或GitHub用户界面来接收安全警告。用户可以在通知设置页面调整通知频率。
在某些情况下,对于发现的每个漏洞,GitHub会尝试使用机器学习提供修复建议。针对易受攻击的依赖的安全警告包含一个安全级别和一个指向项目受影响文件的链接,如果有的话,它还会提供CVE记录的链接和修复建议。通用漏洞评分系统(CVSS)定义了四种可能的等级,分别是低、中、高和严重。
据GitHub介绍,开始的时候,安全警告只会涵盖最新的漏洞,并在接下来的数周内添加更多Python历史漏洞。此外,GitHub永远不会公开披露任何库中发现的漏洞。
依赖图列出了项目的所有依赖,用户可以从中看出安全警告影响的项目。要查看依赖图,在项目中点击Insights,然后点击Dependency graph。
要在Python项目中使用依赖图,需要在requirements.txt或pipfile.lock文件中定义项目依赖。GitHub强烈建议用户在requirements.txt文件中定义依赖。
要了解更多信息,请查看GitHub文档。
【编辑推荐】
点赞 0
- 大家都在看
- 猜你喜欢
编辑推荐
- 24H热文
- 一周话题
- 本月最赞
- LeCun:Python当死,深度学习新语言当立年终奖大数据曝光:赚多少钱,才幸福?网友编写出《流浪地球》“春节十二响”C语言源码35 岁程序员,年后第一天被辞退太厉害了:居然有人将各大编程语言绘成了一部编年史程序员需要了解的浏览器缓存技术中国芯真不如英特尔AMD?“自主”二字绝不简单京东变相大裁员,而且裁的是高管。互联网凛冬已至,你又作何打算。
- 18年IT老兵:从技术走向管理的“九九八十一难”35 岁程序员,年后第一天被辞退太厉害了:居然有人将各大编程语言绘成了一部编年史程序员是吃青春饭的?一张图道尽程序员的发展方向5个相见恨晚的Linux命令,每一个都非常实用LeCun:Python当死,深度学习新语言当立一个天才程序员的黑帮大佬人生2018年阿里巴巴开源的那些超牛的Java项目汇总
- 太厉害了:居然有人将各大编程语言绘成了一部编年史5个相见恨晚的Linux命令,每一个都非常实用18年IT老兵:从技术走向管理的“九九八十一难”35 岁程序员,年后第一天被辞退有一种痛,叫做“今年没有年终奖”!斩获BAT技术专家Offer,他到底经历了什么?程序员锁死服务器毁掉600万游戏项目?当事人回应惨!程序员锁死服务器跑路,公司解散600万打水漂
视频课程+更多
-
VMware vSAN 6.6视频课程
讲师:郝旺16592人学习过
-
企业级Zabbix监控系列一Zabbix3.4监控基础体
讲师:徐亮伟140200人学习过
-
面向IT人员的Windows 10操作入门视频教程
讲师:曾垂鑫25905人学习过
最新专题+更多
- 精选博文
- 论坛热帖
- 下载排行
读 书 +更多
Linux标准教程
本书以Linux Redhat 9.0中文版为基础编写,从易用性和实用性角度出发主要介绍Linux Redhat 9.0中文版的应用知识,通过本书的学习,相信初中...
-
订阅51CTO邮刊
点击这里查看样刊