GitHub 将为使用有漏洞开源库的开发者提供警告信息

众所周知，如今开发软件已经变得不难，由于如今软件项目一般使用大量的依赖库。开发者虽然很是容易开发项目，简单而又方便了，可是一旦上游库有 Bug 将会影响到下游软件。

如今最大的开源软件开发平台 GitHub 宣布了安全警告服务，将搜索依赖寻找已知漏洞而后发送给开发者，以便帮助开发者尽量快的打上补丁修复漏洞。GitHub 将会识别全部使用受影响依赖的公开项目，使用私有库的项目则须要选择加入才能使用安全警告服务。

最近，GitHub 在 ”Insights” 板块推出了 “依赖图 (Dependency Graph)” 功能，“依赖图” 这个新功能旨在提醒开发人员其项目依赖中出现了缺陷。该功能已为公共库自动启用，不过为私有库设置为可选项。当检测到项目中使用了易受攻击的库时，“依赖图” 中会展现一则 “已知安全漏洞” 警告信息。管理人员也能够配置邮件警告信息、网络提醒以及经由用户界面的警告信息，并且他们能够增长可看到该警告信息的团队和成员名单。

GitHub 经过追踪 CVE 列表中 Ruby gems 和 NPM 包中的缺陷来识别易受攻击的项目。当添加一个新缺陷后，GitHub 会识别出全部使用受影响版本的库并通知其全部者。当 GitHub 检测出您潜在的漏洞时，GitHub 将显示建议更新的依赖关系。若是存在已知的安全版本，咱们将选择一个使用机器学习和公开可用的数据，并将其包含在咱们的建议中。

目前 GitHub 追踪的漏洞是已分配 CVE 编号的漏洞，不过因为不少公开披露的缺陷并不具备该编号，所以 GitHub 公司将尝试警告这类不具有 CVE 编号的缺陷。GitHub 表示，随着安全数据的增长，公司会在识别漏洞方面作得更好。

这是使用世界上最大的开源数据集合的下一步，能够尽可能帮助咱们保持代码安全。依赖关系图和安全警报目前仅支持 JavaScript 和 Ruby，将在 2018 年提供 Python 支持。

欢迎你们关注个人公众号：非著名程序员。特别声明：未经容许，禁止任何形式的转载！