GitHub宣布了Python安全警告，使Python用戶(hù)可以訪問(wèn)依賴(lài)圖，并在他們的庫(kù)所依賴(lài)的包存在安全漏洞時(shí)收到警告。

安全警告首次發(fā)布是在2017年10月，為了跟蹤Ruby和JavaScript程序包中的安全漏洞。據(jù)GitHub介紹，從那時(shí)起，數(shù)以百萬(wàn)計(jì)的漏洞被發(fā)現(xiàn)，推動(dòng)了許多補(bǔ)丁的發(fā)布。

GitHub會(huì)根據(jù)MITRE的公共漏洞列表（CVE）來(lái)跟蹤Ruby gems、NPM和Python程序包中的公共安全漏洞。CVE是一個(gè)條目列表；每個(gè)條目都包含一個(gè)標(biāo)識(shí)號(hào)、一段描述以及至少一項(xiàng)公共參考。這非常有助于促使管理員快速響應(yīng)、通過(guò)移除易受攻擊的依賴(lài)或遷移到安全版本來(lái)修復(fù)漏洞。

當(dāng)GitHub收到新發(fā)布的漏洞通知，它就會(huì)掃描公共庫(kù)（已經(jīng)選擇加入的私有庫(kù)也會(huì)被掃描）。當(dāng)發(fā)現(xiàn)漏洞時(shí)，就會(huì)向受影響的庫(kù)的所有者和有管理員權(quán)限的用戶(hù)發(fā)送安全警告。在默認(rèn)情況下，用戶(hù)每周都會(huì)收到一封郵件，其中包含多達(dá)10個(gè)庫(kù)的安全警告。用戶(hù)也可以自己選擇通過(guò)電子郵件、每日摘要電子郵件、Web通知或GitHub用戶(hù)界面來(lái)接收安全警告。用戶(hù)可以在通知設(shè)置頁(yè)面調(diào)整通知頻率。

在某些情況下，對(duì)于發(fā)現(xiàn)的每個(gè)漏洞，GitHub會(huì)嘗試使用機(jī)器學(xué)習(xí)提供修復(fù)建議。針對(duì)易受攻擊的依賴(lài)的安全警告包含一個(gè)安全級(jí)別和一個(gè)指向項(xiàng)目受影響文件的鏈接，如果有的話，它還會(huì)提供CVE記錄的鏈接和修復(fù)建議。通用漏洞評(píng)分系統(tǒng)（CVSS）定義了四種可能的等級(jí)，分別是低、中、高和嚴(yán)重。

據(jù)GitHub介紹，開(kāi)始的時(shí)候，安全警告只會(huì)涵蓋最新的漏洞，并在接下來(lái)的數(shù)周內(nèi)添加更多Python歷史漏洞。此外，GitHub永遠(yuǎn)不會(huì)公開(kāi)披露任何庫(kù)中發(fā)現(xiàn)的漏洞。

依賴(lài)圖列出了項(xiàng)目的所有依賴(lài)，用戶(hù)可以從中看出安全警告影響的項(xiàng)目。要查看依賴(lài)圖，在項(xiàng)目中點(diǎn)擊Insights，然后點(diǎn)擊Dependency graph。

要在Python項(xiàng)目中使用依賴(lài)圖，需要在requirements.txt或pipfile.lock文件中定義項(xiàng)目依賴(lài)。GitHub強(qiáng)烈建議用戶(hù)在requirements.txt文件中定義依賴(lài)。

要了解更多信息，請(qǐng)查看GitHub文檔。

查看英文原文：GitHub Security Alerts for Python

標(biāo)簽： 安全 電子郵件 漏洞 權(quán)限

版權(quán)申明：本站文章部分自網(wǎng)絡(luò)，如有侵權(quán)，請(qǐng)聯(lián)系：west999com@outlook.com
特別注意：本站所有轉(zhuǎn)載文章言論不代表本站觀點(diǎn)！
本站所提供的圖片等素材，版權(quán)歸原作者所有，如需使用，請(qǐng)與原作者聯(lián)系。