阿里云
发表主题 回复主题
  • 999阅读
  • 0回复

[云安全技术和产品专区 ]GitHub安全新机制:开发者引入不安全的库时会出现安全告警

级别: 论坛版主
发帖
233
云币
457
r\em-%:  
z1YC%Y|R  
代码托管服务商GitHub增加了新功能,现在它能够警告开发人员他们的项目中有存在漏洞的软件库,并且会提出修复方法解决问题 5$9j&&R  
<K2 )v~  
=MoPOib\n  
GitHub最近引入了依赖关系图,该功能会列出项目使用的所有库。新功能支持JavaScript和Ruby,公司还计划在明年增加对Python的支持。 3:76x  
)FgcNB1|7  
新的安全功能旨在当开发人员项目的依赖存在漏洞时进行提醒。对于公开repo,GitHub已经动启用了依存关系图和安全警报功能,但对于私有repo还未开启。 gI T"nG=a4  
K{"+eA>CU  
&:Raf5G-E  
依赖图能够在项目拥有者使用存在漏洞的库时进行提醒,并通知项目的所有者,然后从GitHub获取修复建议。 h( Iti&  
HQ4o^WC  
“如今超过75%的GitHub项目存在依赖关系,除了帮助大家看到这些重要的项目,我们还要做更多的事。启用您的依赖关系图后,当我们检测到您的某个依赖关系中存在漏洞时我们现在会通知您,并且给出相应的修复建议。“GitHub介绍道。 ?n[+0a:8E  
q?JP\_o:  
目前支持JavaScript和Ruby项目 +AXui|mn  
目前,依赖图支持package.json文件(用于JavaScript项目)和gemfiles(用于Ruby项目),并且预计明年将增加对Python的支持。 %}2 s74D*Z  
9'T nR[>  
VYik#n>|Gp  
添加到依赖图的新安全功能是一个警报系统,当通过这些清单文件加载的从属库之一受到公开已知的漏洞的影响时,将警告用户。 下面的GIF显示了这些警报是如何工作的。 td{$ c6  
<Y<%=`  
/_>S0  
?>DN7je  
依赖图也会发送电子邮件通知一个项目更新使用易受攻击的依赖项(库)或GitHub更新其数据库与新的漏洞的信息 r m\]  
8+^q9rLii  
9K~X}]u  
1Sx2c  
GitHub产品总监Miju Han表示,GitHub的工程师将首先使用CVE漏洞识别系统来跟踪已知的安全漏洞,但是他们也承诺发送已知安全研究人员未能获得CVE ID号码的漏洞警报。 t#=W'HyW8  
&r do Mc;  
k_/*> lIZY  
用户正在寻找一个(有些)类似的漏洞扫描程序,用于基于PHP Composer的项目所使用的依赖关系图,可以使用Roave的SecurityAdvisories项目。 ?sk{(UN]  
RG0kOw0  
更多信息参考:https://help.github.com/articles/about-security-alerts-for-vulnerable-dependencies/  l|j  
3fM8W> *7  
[ 此帖被正禾在2017-11-21 09:47重新编辑 ]
发表主题 回复主题
« 返回列表上一主题下一主题

限100 字节
如果您提交过一次失败了,可以用”恢复数据”来恢复帖子内容
 
验证问题: ECS是阿里云提供的什么服务? 正确答案:云服务器
上一个 下一个