GitHub安全新机制:开发者引入不安全的库时会出现安全告警
代码托管服务商GitHub增加了新功能,现在它能够警告开发人员他们的项目中有存在漏洞的软件库,并且会提出修复方法解决问题。
GitHub最近引入了依赖关系图,该功能会列出项目使用的所有库。新功能支持JavaScript和Ruby,公司还计划在明年增加对Python的支持。
新的安全功能旨在当开发人员项目的依赖存在漏洞时进行提醒。对于公开repo,GitHub已经自动启用了依存关系图和安全警报功能,但对于私有repo还未开启。
依赖图能够在项目拥有者使用存在漏洞的库时进行提醒,并通知项目的所有者,然后从GitHub获取修复建议。
“如今超过75%的GitHub项目存在依赖关系,除了帮助大家看到这些重要的项目,我们还要做更多的事。启用您的依赖关系图后,当我们检测到您的某个依赖关系中存在漏洞时我们现在会通知您,并且给出相应的修复建议。“GitHub介绍道。
目前支持JavaScript和Ruby项目
目前,依赖图支持package.json文件(用于JavaScript项目)和gemfiles(用于Ruby项目),并且预计明年将增加对Python的支持。
添加到依赖图的新安全功能是一个警报系统,当通过这些清单文件加载的从属库之一受到公开已知的漏洞的影响时,将警告用户。 下面的GIF显示了这些警报是如何工作的。
依赖图也会发送电子邮件通知一个项目更新使用易受攻击的依赖项(库)或GitHub更新其数据库与新的漏洞的信息。
GitHub产品总监Miju Han表示,GitHub的工程师将首先使用CVE漏洞识别系统来跟踪已知的安全漏洞,但是他们也承诺发送已知安全研究人员未能获得CVE ID号码的漏洞警报。
用户正在寻找一个(有些)类似的漏洞扫描程序,用于基于PHP Composer的项目所使用的依赖关系图,可以使用Roave的SecurityAdvisories项目。
更多信息参考:
https://help.github.com/articles/about-security-alerts-for-vulnerable-dependencies/
版权声明:本文内容由阿里云实名注册用户自发贡献,版权归原作者所有,阿里云开发者社区不拥有其著作权,亦不承担相应法律责任。具体规则请查看《阿里云开发者社区用户服务协议》和《阿里云开发者社区知识产权保护指引》。如果您发现本社区中有涉嫌抄袭的内容,填写侵权投诉表单进行举报,一经查实,本社区将立刻删除涉嫌侵权内容。
GitHub的这一新功能对于保障代码安全来说是一个重要的进步,它通过自动检测依赖关系中的漏洞来帮助开发者及时采取行动。阿里云也提供了类似的安全服务来保护您的项目和应用程序,尤其是在使用云服务和托管解决方案时。
-
阿里云安全中心:这是一个全面的安全管理平台,可以提供实时的威胁监控、漏洞管理、合规检查等功能。对于运行在阿里云上的应用,安全中心能够自动发现潜在的安全风险,包括但不限于软件漏洞、配置错误等,并提供修复建议。这与GitHub的安全警报功能相辅相成,为您的整体IT环境提供更全面的保护。
-
云防火墙:虽然直接关联于代码库的安全扫描不同,云防火墙能帮助您在网络层面防护外部攻击,控制进出流量,进一步加固应用的安全性。
-
容器安全服务:如果您使用的是容器化部署(如Docker),阿里云的容器安全服务可以扫描镜像中的漏洞,确保容器运行环境的安全,这同样适用于基于Python、Ruby或JavaScript的应用。
-
代码仓库服务:虽然阿里云的代码托管服务如Codeup可能没有直接内置与GitHub完全相同的安全警报功能,但结合阿里云安全中心和其他安全产品,您可以构建一个综合的安全管理体系,覆盖从代码托管到部署运行的全过程。
-
云效:作为阿里云的DevOps平台,云效支持Git代码托管,并且在持续集成/持续部署(CI/CD)流程中,可以通过集成安全扫描工具或服务,实现自动化安全检查,确保代码质量及安全性。
综上所述,虽然阿里云的产品和服务与GitHub的具体功能有所差异,但通过组合使用这些服务,您可以构建起一套针对不同开发语言(包括PHP Composer项目)的全面安全防护体系,有效管理和降低项目中的安全风险。
