当前位置:安全资讯 >> 全文

GitHub加大安全力度 为使用易受攻击库的开发人员发出警告信息

发布时间:2017-11-20 20:14 标签: GitHub,缺陷警告
分享到 0

如果开发人员在某些项目中使用的软件库包含已知漏洞时,GitHub会发出警告信息并提供解决方案。

最近,GitHub Insights 板块推出了“依赖图 (Dependency Graph)”功能,用来列出项目中所使用的库。该功能目前支持JavaScriptRuby,明年打算增加对Python的支持。

“依赖图”这个新功能旨在提醒开发人员其项目依赖中出现了缺陷。该功能已为公共库自动启用,不过为私有库设置为可选项。

当检测到项目中使用了易受攻击的库时,“依赖图”中会展示一则“已知安全漏洞”警告信息。管理人员也可以配置邮件警告信息、网络提醒以及经由用户界面的警告信息,而且他们可以增加可看到该警告信息的团队和成员名单。

GitHub通过追踪CVE列表中Ruby gemsNPM包中的缺陷来识别易受攻击的项目。当添加一个新缺陷后,GitHub会识别出所有使用受影响版本的库并通知其所有者。

提供给管理员的信息包括缺陷类型、严重程度以及受影响版本。另外还会增加一个页面提供其它详情。

如漏洞存在补丁,那么GitHub会建议开发人员更新或使用机器学习来推荐由社区提供的修复方案。

GitHub目前追踪的漏洞是已分配CVE编号的漏洞,不过由于很多公开披露的缺陷并不具有该编号,因此GitHub公司将尝试警告这类不具备CVE编号的缺陷。GitHub表示,随着安全数据的增加,公司会在识别漏洞方面做得更好。

 

 

本文由360代码卫士编译,不代表360观点,转载请注明“转自360代码卫士www.codesafe.cn”。
原文链接:http://www.securityweek.com/github-warns-developers-when-using-vulnerable-libraries
参与讨论,请先 登录 | 注册

用户评论