樓主發(fā)表于: 11-21

代碼托管服務(wù)商GitHub增加了新功能，現(xiàn)在它能夠警告開(kāi)發(fā)人員他們的項(xiàng)目中有存在漏洞的軟件庫(kù)，并且會(huì)提出修復(fù)方法解決問(wèn)題。

GitHub最近引入了依賴關(guān)系圖，該功能會(huì)列出項(xiàng)目使用的所有庫(kù)。新功能支持JavaScript和Ruby，公司還計(jì)劃在明年增加對(duì)Python的支持。

新的安全功能旨在當(dāng)開(kāi)發(fā)人員項(xiàng)目的依賴存在漏洞時(shí)進(jìn)行提醒。對(duì)于公開(kāi)repo，GitHub已經(jīng)自動(dòng)啟用了依存關(guān)系圖和安全警報(bào)功能，但對(duì)于私有repo還未開(kāi)啟。

依賴圖能夠在項(xiàng)目擁有者使用存在漏洞的庫(kù)時(shí)進(jìn)行提醒，并通知項(xiàng)目的所有者，然后從GitHub獲取修復(fù)建議。

“如今超過(guò)75％的GitHub項(xiàng)目存在依賴關(guān)系，除了幫助大家看到這些重要的項(xiàng)目，我們還要做更多的事。啟用您的依賴關(guān)系圖后，當(dāng)我們檢測(cè)到您的某個(gè)依賴關(guān)系中存在漏洞時(shí)我們現(xiàn)在會(huì)通知您，并且給出相應(yīng)的修復(fù)建議?！癎itHub介紹道。

目前支持JavaScript和Ruby項(xiàng)目

目前，依賴圖支持package.json文件（用于JavaScript項(xiàng)目）和gemfiles（用于Ruby項(xiàng)目），并且預(yù)計(jì)明年將增加對(duì)Python的支持。

添加到依賴圖的新安全功能是一個(gè)警報(bào)系統(tǒng)，當(dāng)通過(guò)這些清單文件加載的從屬庫(kù)之一受到公開(kāi)已知的漏洞的影響時(shí)，將警告用戶。 下面的GIF顯示了這些警報(bào)是如何工作的。

依賴圖也會(huì)發(fā)送電子郵件通知一個(gè)項(xiàng)目更新使用易受攻擊的依賴項(xiàng)（庫(kù)）或GitHub更新其數(shù)據(jù)庫(kù)與新的漏洞的信息。

GitHub產(chǎn)品總監(jiān)Miju Han表示，GitHub的工程師將首先使用CVE漏洞識(shí)別系統(tǒng)來(lái)跟蹤已知的安全漏洞，但是他們也承諾發(fā)送已知安全研究人員未能獲得CVE ID號(hào)碼的漏洞警報(bào)。

用戶正在尋找一個(gè)（有些）類似的漏洞掃描程序，用于基于PHP Composer的項(xiàng)目所使用的依賴關(guān)系圖，可以使用Roave的SecurityAdvisories項(xiàng)目。

更多信息參考：https://help.github.com/articles/about-security-alerts-for-vulnerable-dependencies/

[ 此帖被正禾在2017-11-21 09:47重新編輯

原文鏈接