BT

如何利用碎片时间提升技术认知与能力? 点击获取答案

GitHub推出Python安全警告

| 作者 Diogo Carleto 关注 38 他的粉丝 ,译者 谢丽 关注 11 他的粉丝 发布于 2018年7月27日. 估计阅读时间: 2 分钟 | QCon上海2018 关注大数据平台技术选型、搭建、系统迁移和优化的经验。

GitHub宣布了Python安全警告,使Python用户可以访问依赖图,并在他们的库所依赖的包存在安全漏洞时收到警告。

安全警告首次发布是在2017年10月,为了跟踪Ruby和JavaScript程序包中的安全漏洞。据GitHub介绍,从那时起,数以百万计的漏洞被发现,推动了许多补丁的发布。

GitHub会根据MITRE的公共漏洞列表(CVE)来跟踪Ruby gems、NPM和Python程序包中的公共安全漏洞。CVE是一个条目列表;每个条目都包含一个标识号、一段描述以及至少一项公共参考。这非常有助于促使管理员快速响应、通过移除易受攻击的依赖或迁移到安全版本来修复漏洞。

当GitHub收到新发布的漏洞通知,它就会扫描公共库(已经选择加入的私有库也会被扫描)。当发现漏洞时,就会向受影响的库的所有者和有管理员权限的用户发送安全警告。在默认情况下,用户每周都会收到一封邮件,其中包含多达10个库的安全警告。用户也可以自己选择通过电子邮件、每日摘要电子邮件、Web通知或GitHub用户界面来接收安全警告。用户可以在通知设置页面调整通知频率。

在某些情况下,对于发现的每个漏洞,GitHub会尝试使用机器学习提供修复建议。针对易受攻击的依赖的安全警告包含一个安全级别和一个指向项目受影响文件的链接,如果有的话,它还会提供CVE记录的链接和修复建议。通用漏洞评分系统(CVSS)定义了四种可能的等级,分别是低、中、高和严重。

据GitHub介绍,开始的时候,安全警告只会涵盖最新的漏洞,并在接下来的数周内添加更多Python历史漏洞。此外,GitHub永远不会公开披露任何库中发现的漏洞。

依赖图列出了项目的所有依赖,用户可以从中看出安全警告影响的项目。要查看依赖图,在项目中点击Insights,然后点击Dependency graph。

要在Python项目中使用依赖图,需要在requirements.txt或pipfile.lock文件中定义项目依赖。GitHub强烈建议用户在requirements.txt文件中定义依赖。

要了解更多信息,请查看GitHub文档

查看英文原文:GitHub Security Alerts for Python

评价本文

专业度
风格

您好,朋友!

您需要 注册一个InfoQ账号 或者 才能进行评论。在您完成注册后还需要进行一些设置。

获得来自InfoQ的更多体验。

告诉我们您的想法

允许的HTML标签: a,b,br,blockquote,i,li,pre,u,ul,p

当有人回复此评论时请E-mail通知我
社区评论

允许的HTML标签: a,b,br,blockquote,i,li,pre,u,ul,p

当有人回复此评论时请E-mail通知我

允许的HTML标签: a,b,br,blockquote,i,li,pre,u,ul,p

当有人回复此评论时请E-mail通知我

讨论

深度内容

登陆InfoQ,与你最关心的话题互动。


找回密码....

Follow

关注你最喜爱的话题和作者

快速浏览网站内你所感兴趣话题的精选内容。

Like

内容自由定制

选择想要阅读的主题和喜爱的作者定制自己的新闻源。

Notifications

获取更新

设置通知机制以获取内容更新对您而言是否重要

BT