今天的軟件項目通常有大量的依賴庫，而上游庫的漏洞將會影響到下游軟件。現(xiàn)在最大的開源軟件開發(fā)平臺 GitHub 宣布了安全警告服務，將搜索依賴尋找已知漏洞然后通過開發(fā)者，以便幫助開發(fā)者盡可能快的打上補丁修復漏洞。GitHub 將會識別所有使用受影響依賴的公開項目，使用私有庫的項目則需要選擇加入才能使用安全警告服務。

當你啟用你的依賴關系圖后，檢測到您的某個依賴關系中的漏洞，GitHub 會提醒你修復已知的程序漏洞。

如何使用安全警報

無論您的項目是私有還是公共，安全警報都會為團隊中的人員提供重要的漏洞信息。

啟用您的依賴關系圖

公共存儲庫將自動啟用依賴關系圖和安全警報。對于私人存儲庫，您需要在存儲庫設置中選擇安全警報，或者允許訪問存儲庫“Insights”選項卡的“依賴關系”圖表部分。

設置通知首選項

啟用依賴關系圖后，管理員將默認收到安全警報。管理員還可以在依賴關系圖中，設置將團隊或個人添加為安全警報的收件人。

回應警報

當 GitHub 檢測出您潛在的漏洞時，GitHub將顯示建議更新的依賴關系。如果存在已知的安全版本，我們將選擇一個使用機器學習和公開可用的數(shù)據(jù)，并將其包含在我們的建議中。

漏洞覆蓋

具有CVE ID的漏洞（來自國家漏洞數(shù)據(jù)庫的公開披露的漏洞）將包含在安全警報中。但是，并非所有漏洞都具有CVE ID，甚至許多公開披露的漏洞也沒有。隨著安全數(shù)據(jù)的增長，我們將繼續(xù)更好地識別漏洞。

這是使用世界上最大的開源數(shù)據(jù)收集的下一步，可以盡量幫助您保持代碼安全。依賴關系圖和安全警報目前支持JavaScript和Ruby，并在2018年提供Python支持。

詳細了解安全警報

編譯自：GitHub