阿里云
阿里云多端小程序中小企业获客首选
发表主题 回复主题
  • 2310阅读
  • 0回复

[云安全技术和产品专区 ]GitHub安全新机制:开发者引入不安全的库时会出现安全告警

级别: 论坛版主
发帖
241
云币
478
|hj!NhBe  
Dqo#+_v  
代码托管服务商GitHub增加了新功能,现在它能够警告开发人员他们的项目中有存在漏洞的软件库,并且会提出修复方法解决问题 m5 sW68  
5?H wM[`  
5qH*"i+|s  
GitHub最近引入了依赖关系图,该功能会列出项目使用的所有库。新功能支持JavaScript和Ruby,公司还计划在明年增加对Python的支持。 OS`jttU@  
uWKmINjv'  
新的安全功能旨在当开发人员项目的依赖存在漏洞时进行提醒。对于公开repo,GitHub已经动启用了依存关系图和安全警报功能,但对于私有repo还未开启。 ~}j+~  
G=[<KtWa  
~b*]jZwT  
依赖图能够在项目拥有者使用存在漏洞的库时进行提醒,并通知项目的所有者,然后从GitHub获取修复建议。 (/<Nh7C1c  
T5|kO:CbHq  
“如今超过75%的GitHub项目存在依赖关系,除了帮助大家看到这些重要的项目,我们还要做更多的事。启用您的依赖关系图后,当我们检测到您的某个依赖关系中存在漏洞时我们现在会通知您,并且给出相应的修复建议。“GitHub介绍道。 "~r)_Ko  
q/zU'7%@  
目前支持JavaScript和Ruby项目 8#JX#<HEo  
目前,依赖图支持package.json文件(用于JavaScript项目)和gemfiles(用于Ruby项目),并且预计明年将增加对Python的支持。 [u!n=ev  
czIAx1R9  
q\?p' i  
添加到依赖图的新安全功能是一个警报系统,当通过这些清单文件加载的从属库之一受到公开已知的漏洞的影响时,将警告用户。 下面的GIF显示了这些警报是如何工作的。 !@ ]IJ"\  
r!f UMDS  
XX /s@C  
+@^);b6  
依赖图也会发送电子邮件通知一个项目更新使用易受攻击的依赖项(库)或GitHub更新其数据库与新的漏洞的信息 Z5(9=8hB/  
9MfU{4:;I  
jr0j0$BF  
v.<mrI#?  
GitHub产品总监Miju Han表示,GitHub的工程师将首先使用CVE漏洞识别系统来跟踪已知的安全漏洞,但是他们也承诺发送已知安全研究人员未能获得CVE ID号码的漏洞警报。 xE@/8h  
DFWO5Y_  
WN=0s  
用户正在寻找一个(有些)类似的漏洞扫描程序,用于基于PHP Composer的项目所使用的依赖关系图,可以使用Roave的SecurityAdvisories项目。 -->0e{y  
G`n $A/9Q  
更多信息参考:https://help.github.com/articles/about-security-alerts-for-vulnerable-dependencies/ .\_RavW23  
F^bY]\-5  
[ 此帖被正禾在2017-11-21 09:47重新编辑 ]
发表主题 回复主题
« 返回列表上一主题下一主题

限100 字节
批量上传需要先选择文件,再选择上传
 
验证问题: 阿里云官网域名是什么? 正确答案:www.aliyun.com
上一个 下一个
      ×
      全新阿里云开发者社区, 去探索开发者的新世界吧!
      一站式的体验,更多的精彩!
      通过下面领域大门,一起探索新的技术世界吧~ (点击图标进入)