GitHub安全新机制:开发者引入不安全的库时会出现安全告警-问答-阿里云开发者社区-阿里云

开发者社区> 问答> 正文
阿里云
为了无法计算的价值
打开APP
阿里云APP内打开

GitHub安全新机制:开发者引入不安全的库时会出现安全告警

2017-11-21 09:14:14 3325 0


代码托管服务商GitHub增加了新功能,现在它能够警告开发人员他们的项目中有存在漏洞的软件库,并且会提出修复方法解决问题。


GitHub最近引入了依赖关系图,该功能会列出项目使用的所有库。新功能支持JavaScript和Ruby,公司还计划在明年增加对Python的支持。

新的安全功能旨在当开发人员项目的依赖存在漏洞时进行提醒。对于公开repo,GitHub已经自动启用了依存关系图和安全警报功能,但对于私有repo还未开启。


依赖图能够在项目拥有者使用存在漏洞的库时进行提醒,并通知项目的所有者,然后从GitHub获取修复建议。

“如今超过75%的GitHub项目存在依赖关系,除了帮助大家看到这些重要的项目,我们还要做更多的事。启用您的依赖关系图后,当我们检测到您的某个依赖关系中存在漏洞时我们现在会通知您,并且给出相应的修复建议。“GitHub介绍道。

目前支持JavaScript和Ruby项目
目前,依赖图支持package.json文件(用于JavaScript项目)和gemfiles(用于Ruby项目),并且预计明年将增加对Python的支持。


添加到依赖图的新安全功能是一个警报系统,当通过这些清单文件加载的从属库之一受到公开已知的漏洞的影响时,将警告用户。 下面的GIF显示了这些警报是如何工作的。



依赖图也会发送电子邮件通知一个项目更新使用易受攻击的依赖项(库)或GitHub更新其数据库与新的漏洞的信息。



GitHub产品总监Miju Han表示,GitHub的工程师将首先使用CVE漏洞识别系统来跟踪已知的安全漏洞,但是他们也承诺发送已知安全研究人员未能获得CVE ID号码的漏洞警报。


用户正在寻找一个(有些)类似的漏洞扫描程序,用于基于PHP Composer的项目所使用的依赖关系图,可以使用Roave的SecurityAdvisories项目。

更多信息参考: https://help.github.com/articles/about-security-alerts-for-vulnerable-dependencies/

取消 提交回答
全部回答(0)
相关问答

1

回答

请问下在你github上node建站项目的问题?报错

2020-06-09 10:33:24 403浏览量 回答数 1

1

回答

怎么更改github的某个项目在本地的同步目录:报错

2020-06-06 11:55:57 282浏览量 回答数 1

1

回答

使用Github for Windows clone项目时出错,求解答!谢谢谢谢 400 请求报错 

2020-05-31 13:01:17 537浏览量 回答数 1

1

回答

在github上下载了一个java项目,怎么用 400 请求报错 

2020-05-29 23:07:42 237浏览量 回答数 1

2

回答

如何在GitHub这个项目“薅羊毛”?

2020-03-20 14:28:34 1025浏览量 回答数 2

2

回答

【回答悬赏】GitHub有哪些适合新手跟进的优质项目?

2020-03-13 09:52:33 4058浏览量 回答数 2

2

回答

GitHub 上有哪些适合新手跟进的优质项目?

2020-03-11 18:56:18 822浏览量 回答数 2

1

回答

GitHub上那些顶级的项目都是做什么的?

2020-01-15 15:10:57 2620浏览量 回答数 1

1

回答

GitHub 上有哪些适合新手跟进的优质项目?

2020-01-08 09:41:16 2025浏览量 回答数 1

0

回答

github上的项目ossnodejssdk

2012-11-13 10:47:20 6847浏览量 回答数 0
+关注
正禾
云安全专家,专业研究云安全5年+,擅长云安全防护体系建设和安全运营。
6
文章
139
问答
问答排行榜
最热
最新
相关电子书
更多
低代码开发师(初级)实战教程
立即下载
阿里巴巴DevOps 最佳实践手册
立即下载
冬季实战营第三期:MySQL数据库进阶实战
立即下载