BT

如何利用碎片时间提升技术认知与能力? 点击获取答案

GitHub启用安全告警功能

| 作者 Andrew Morgan 关注 0 他的粉丝 ,译者 薛命灯 关注 12 他的粉丝 发布于 2017年11月28日. 估计阅读时间: 1 分钟 | QCon北京2018全面起航:开启与Netflix、微软、ThoughtWorks等公司的技术创新之路!

亲爱的读者:我们最近添加了一些个人消息定制功能,您只需选择感兴趣的技术主题,即可获取重要资讯的邮件和网页通知

GitHub启用了一项安全告警功能,通过扫描项目依赖项检测出存在的隐患。一旦扫描出漏洞,用户会收到告警和漏洞的详细信息,包括严重级别和相应的解决办法。

该特性基于最近推出的依赖项图功能而构建,GitHub自动扫描项目的依赖项,并将结果展示给用户。

GitHub旨在通过交叉引用依赖项数据和安全数据尽可能多地识别隐患,并尽快告知用户。他们使用了机器学习技术,并结合了一些公共数据:

具有CVE ID(National Vulnerability Database发布的公开漏洞)的漏洞都将被包含在安全告警当中。不过,并不是所有的漏洞都有CVE ID,很多已公开的漏洞并没有相应的CVE ID。随着安全数据量的增长,我们将继续竭力更好地识别漏洞。

被识别出来的漏洞会获得一个以CVE记录为依据的安全严重级别,用户根据实际情况打上补丁或进行问题修复:

在获知代码仓库中存在依赖项漏洞之后,应该分析它们对项目的影响,在更新依赖项之前要确保这些漏洞已得到修复。如果依赖项没有推出安全修复,建议移除该依赖项,使用安全的同类依赖项来替代。

默认情况下,该特性会扫描所有的公共代码库,也会选择性地扫描部分私有代码库。不过扫描结果不会被公开。目前只支持Ruby和JavaScript的代码仓库,GitHub预计在2018年支持Python。GitHub官方文档提供了更多相关信息。

查看英文原文GitHub Launches Security Alerts

评价本文

专业度
风格

您好,朋友!

您需要 注册一个InfoQ账号 或者 才能进行评论。在您完成注册后还需要进行一些设置。

获得来自InfoQ的更多体验。

告诉我们您的想法

允许的HTML标签: a,b,br,blockquote,i,li,pre,u,ul,p

当有人回复此评论时请E-mail通知我
社区评论

允许的HTML标签: a,b,br,blockquote,i,li,pre,u,ul,p

当有人回复此评论时请E-mail通知我

允许的HTML标签: a,b,br,blockquote,i,li,pre,u,ul,p

当有人回复此评论时请E-mail通知我

讨论

登陆InfoQ,与你最关心的话题互动。


找回密码....

Follow

关注你最喜爱的话题和作者

快速浏览网站内你所感兴趣话题的精选内容。

Like

内容自由定制

选择想要阅读的主题和喜爱的作者定制自己的新闻源。

Notifications

获取更新

设置通知机制以获取内容更新对您而言是否重要

BT