GitHub安全新机制：开发者引入不安全的库时会出现安全告警

代码托管服务商GitHub增加了新功能，现在它能够警告开发人员他们的项目中有存在漏洞的软件库，并且会提出修复方法解决问题。


GitHub最近引入了依赖关系图，该功能会列出项目使用的所有库。新功能支持JavaScript和Ruby，公司还计划在明年增加对Python的支持。

新的安全功能旨在当开发人员项目的依赖存在漏洞时进行提醒。对于公开repo，GitHub已经自动启用了依存关系图和安全警报功能，但对于私有repo还未开启。


依赖图能够在项目拥有者使用存在漏洞的库时进行提醒，并通知项目的所有者，然后从GitHub获取修复建议。

“如今超过75％的GitHub项目存在依赖关系，除了帮助大家看到这些重要的项目，我们还要做更多的事。启用您的依赖关系图后，当我们检测到您的某个依赖关系中存在漏洞时我们现在会通知您，并且给出相应的修复建议。“GitHub介绍道。

目前支持JavaScript和Ruby项目
目前，依赖图支持package.json文件（用于JavaScript项目）和gemfiles（用于Ruby项目），并且预计明年将增加对Python的支持。


添加到依赖图的新安全功能是一个警报系统，当通过这些清单文件加载的从属库之一受到公开已知的漏洞的影响时，将警告用户。 下面的GIF显示了这些警报是如何工作的。



依赖图也会发送电子邮件通知一个项目更新使用易受攻击的依赖项（库）或GitHub更新其数据库与新的漏洞的信息。



GitHub产品总监Miju Han表示，GitHub的工程师将首先使用CVE漏洞识别系统来跟踪已知的安全漏洞，但是他们也承诺发送已知安全研究人员未能获得CVE ID号码的漏洞警报。


用户正在寻找一个（有些）类似的漏洞扫描程序，用于基于PHP Composer的项目所使用的依赖关系图，可以使用Roave的SecurityAdvisories项目。

更多信息参考： https://help.github.com/articles/about-security-alerts-for-vulnerable-dependencies/