O GitHub anunciou os alertas de segurança para o Python, fornecendo acesso para os usuários Python ao Dependency Graph, assim como receber alertas de segurança sempre que um repositório dependa de pacotes com vulnerabilidades de segurança conhecidas.
A primeira versão dos alertas de segurança foi lançada em outubro de 2017, com o intuito de rastrear vulnerabilidades de segurança em pacotes Ruby e JavaScript. Desde então, de acordo com o GitHub, milhões de vulnerabilidades foram identificadas e uma série de correções foram disponibilizadas.
O GitHub rastreia vulnerabilidades públicas em pacotes Ruby, NPM e Python de acordo com a lista MITRE's Common Vulnerabilities and Exposures (CVE). CVE é uma lista de entradas; cada entrada tem um número identificador, uma descrição, e ao menos uma referência pública. Isto é particularmente útil para permitir que os administradores tomem ações prontamente e efetuem correções de vulnerabilidades removendo uma dependência vulnerável ou migrando para uma versão segura.
Quando o GitHub recebe uma notificação de uma nova vulnerabilidade, os repositórios públicos são escaneados (repositórios privados que optaram por serem escaneados também). Quando uma vulnerabilidade é encontrada, alertas de segurança dos repositórios afetados são enviados para os donos dos repositórios e usuários com permissão de admin. Por padrão, os usuários receberão um email semanal resumindo os alertas de segurança para até 10 repositórios. Os usuários também podem escolher receber os alertas de segurança individualmente por email, notificações web ou por meio da interface do GitHub. Além disso, é possível ajustar a frequência das notificações através da página notification settings.
O GitHub tentará sugerir uma correção, em alguns casos usando aprendizado de máquina, para cada vulnerabilidade encontrada. Um alerta de segurança inclui um nível de severidade, um link para o arquivo afetado no projeto, e quando disponível, um link para o registro CVE e uma sugestão de correção. Existem quatro níveis definidos no Common Vulnerability Scoring System (CVSS), low, moderate, high e critical.
De acordo com o GitHub, inicialmente os alertas de segurança irão cobrir vulnerabilidades recentes, com a adição de vulnerabilidades históricas do Python nas próximas semanas. Além disso, o GitHub nunca divulga publicamente vulnerabilidades identificadas para qualquer repositório.
O Dependency Graph lista todas as dependências de um projeto e é o local onde os usuários podem visualizar os alertas de segurança que afetam o projeto. Para acessar o Dependency Graph, clique em Insights em um projeto, e então em Dependency Graph.
Para habilitar o Dependency Graph em um projeto Python é necessário definir as dependências do projeto em um arquivo requirements.txt ou pipfile.lock. O GitHub recomenda que as dependências sejam definidas no arquivo requirements.txt.
Mais informações estão disponíveis na documentação do GitHub.