BT

GitHub anuncia alertas de segurança para o Python

| por Diogo Carleto Seguir 41 Seguidores , traduzido por Diogo Carleto Seguir 41 Seguidores em 03 ago 2018. Tempo estimado de leitura: 2 minutos |

O GitHub anunciou os alertas de segurança para o Python, fornecendo acesso para os usuários Python ao Dependency Graph, assim como receber alertas de segurança sempre que um repositório dependa de pacotes com vulnerabilidades de segurança conhecidas.

A primeira versão dos alertas de segurança foi lançada em outubro de 2017, com o intuito de rastrear vulnerabilidades de segurança em pacotes Ruby e JavaScript. Desde então, de acordo com o GitHub, milhões de vulnerabilidades foram identificadas e uma série de correções foram disponibilizadas.

O GitHub rastreia vulnerabilidades públicas em pacotes Ruby, NPM e Python de acordo com a lista MITRE's Common Vulnerabilities and Exposures (CVE). CVE é uma lista de entradas; cada entrada tem um número identificador, uma descrição, e ao menos uma referência pública. Isto é particularmente útil para permitir que os administradores tomem ações prontamente e efetuem correções de vulnerabilidades removendo uma dependência vulnerável ou migrando para uma versão segura.

Quando o GitHub recebe uma notificação de uma nova vulnerabilidade, os repositórios públicos são escaneados (repositórios privados que optaram por serem escaneados também). Quando uma vulnerabilidade é encontrada, alertas de segurança dos repositórios afetados são enviados para os donos dos repositórios e usuários com permissão de admin. Por padrão, os usuários receberão um email semanal resumindo os alertas de segurança para até 10 repositórios. Os usuários também podem escolher receber os alertas de segurança individualmente por email, notificações web ou por meio da interface do GitHub. Além disso, é possível ajustar a frequência das notificações através da página notification settings.

O GitHub tentará sugerir uma correção, em alguns casos usando aprendizado de máquina, para cada vulnerabilidade encontrada. Um alerta de segurança inclui um nível de severidade, um link para o arquivo afetado no projeto, e quando disponível, um link para o registro CVE e uma sugestão de correção. Existem quatro níveis definidos no Common Vulnerability Scoring System (CVSS), low, moderate, high e critical.

De acordo com o GitHub, inicialmente os alertas de segurança irão cobrir vulnerabilidades recentes, com a adição de vulnerabilidades históricas do Python nas próximas semanas. Além disso, o GitHub nunca divulga publicamente vulnerabilidades identificadas para qualquer repositório.

O Dependency Graph lista todas as dependências de um projeto e é o local onde os usuários podem visualizar os alertas de segurança que afetam o projeto. Para acessar o Dependency Graph, clique em Insights em um projeto, e então em Dependency Graph.

Para habilitar o Dependency Graph em um projeto Python é necessário definir as dependências do projeto em um arquivo requirements.txt ou pipfile.lock. O GitHub recomenda que as dependências sejam definidas no arquivo requirements.txt.

Mais informações estão disponíveis na documentação do GitHub.

Avalie esse artigo

Relevância
Estilo/Redação

Olá visitante

Você precisa cadastrar-se no InfoQ Brasil ou para enviar comentários. Há muitas vantagens em se cadastrar.

Obtenha o máximo da experiência do InfoQ Brasil.

Dê sua opinião

HTML é permitido: a,b,br,blockquote,i,li,pre,u,ul,p

Receber mensagens dessa discussão
Comentários da comunidade

HTML é permitido: a,b,br,blockquote,i,li,pre,u,ul,p

Receber mensagens dessa discussão

HTML é permitido: a,b,br,blockquote,i,li,pre,u,ul,p

Receber mensagens dessa discussão

Dê sua opinião

Conteúdo educacional

Faça seu login para melhorar sua experiência com o InfoQ e ter acesso a funcionalidades exclusivas


Esqueci minha senha

Follow

Siga seus tópicos e editores favoritos

Acompanhe e seja notificados sobre as mais importantes novidades do mundo do desenvolvimento de software.

Like

Mais interação, mais personalização

Crie seu próprio feed de novidades escolhendo os tópicos e pessoas que você gostaria de acompanhar.

Notifications

Fique por dentro das novidades!

Configure as notificações e acompanhe as novidades relacionada a tópicos, conteúdos e pessoas de seu interesse

BT