GitHub 宣布了 Python 安全警告, 使 Python 用户可以访问依赖图, 并在他们的库所依赖的包存在安全漏洞时收到警告.
安全警告首次发布是在 2017 年 10 月, 为了跟踪 Ruby 和 JavaScript 程序包中的安全漏洞. 据 GitHub 介绍, 从那时起, 数以百万计的漏洞被发现, 推动了许多补丁的发布.
GitHub 会根据 MITRE 的公共漏洞列表 (CVE) 来跟踪 Ruby gems,NPM 和 Python 程序包中的公共安全漏洞. CVE 是一个条目列表; 每个条目都包含一个标识号, 一段描述以及至少一项公共参考. 这非常有助于促使管理员快速响应, 通过移除易受攻击的依赖或迁移到安全版本来修复漏洞.
当 GitHub 收到新发布的漏洞通知, 它就会扫描公共库(已经选择加入的私有库也会被扫描). 当发现漏洞时, 就会向受影响的库的所有者和有管理员权限的用户发送安全警告. 在默认情况下, 用户每周都会收到一封邮件, 其中包含多达 10 个库的安全警告. 用户也可以自己选择通过电子邮件, 每日摘要电子邮件, web 通知或 GitHub 用户界面来接收安全警告. 用户可以在通知设置页面调整通知频率.
在某些情况下, 对于发现的每个漏洞, GitHub 会尝试使用机器学习提供修复建议. 针对易受攻击的依赖的安全警告包含一个安全级别和一个指向项目受影响文件的链接, 如果有的话, 它还会提供 CVE 记录的链接和修复建议. 通用漏洞评分系统 (CVSS) 定义了四种可能的等级, 分别是低, 中, 高和严重.
据 GitHub 介绍, 开始的时候, 安全警告只会涵盖最新的漏洞, 并在接下来的数周内添加更多 Python 历史漏洞. 此外, GitHub 永远不会公开披露任何库中发现的漏洞.
依赖图列出了项目的所有依赖, 用户可以从中看出安全警告影响的项目. 要查看依赖图, 在项目中点击 Insights, 然后点击 Dependency graph.
要在 Python 项目中使用依赖图, 需要在 requirements.txt 或 pipfile.lock 文件中定义项目依赖. GitHub 强烈建议用户在 requirements.txt 文件中定义依赖.
要了解更多信息, 请查看 GitHub 文档 https://help.github.com/articles/about-security-alerts-for-vulnerable-dependencies/ .
来源: http://news.51cto.com/art/201808/580340.htm