在2017年GitHub开始对托管在其网站的代码仓库和依赖库开始提供安全漏洞检查和告警,开始时候只支持Ruby和JavaScript语言的项目。根据GitHub官方数据显示截止目前Gitub已经对50万仓库的400多万个安全漏洞发出了漏洞安全告警。GitHub统计还显示,基本上这些告警都得到开发者的积极回应,大概一半告警都在一周内收到响应,三分之一的漏洞在一周内得到解决。
今天虫虫告诉大家一个好消息,github已经把Python加入了安全检查项目,算是GitHub对开源项目所做安全另一个大的里程碑。本周内,Python项目可以查看其类库依赖关系图,并会对其一类的类库进行安全检查,如果发现已知安全漏洞的软件包,就会发出安全告警。
GitHub表示接下来会从NVD及其公共vulnerability源增加更多的Python vulnerability数据库洞,并对新出漏洞发出相关Python类库中新披露的安全漏洞的告警。
Python安全告警功能启用
由于类库安全检查基于项目的依赖配置文件,所以必须确保你的Python代码库中的具有requirements.txt或Pipfile.lock文件,并且得到正确的配置。
查看一个类库依赖的方法是:通过GitHub界面的"Insights"-"Dependency graph"
对公共存储GitHub将会自动启用依赖关系图和安全告警。并对安全漏洞发出告警,如下图:
私有仓库安全告警设置
对于私有存储库,需要自己选择存储库设置中的安全告警,设置允许访问存储库的"Insights"选项卡的"Dependency graph"。
启用漏洞告警后,管理员将默认接收安全漏洞告警。管理员还可以通过进入其存储库的设置页面并导航到"告警"选项卡,将团队或个人添加为安全告警的接收者。
要配置收到的通知的种类或频率,可以访问配置文件的通知设置页面(上述步骤),然后选中有关选项。
安全告警设置步骤
2、页面左方的功能菜单中选择"Notifications"。
3、在设置通知页面的"Vulnerability alerts"选项卡中,选中有关项目,如下图所示:
设置Github访问依赖图
1、 点击仓库上面功能菜单中的设置标签页"Setting"。
2、 在弹出设置页面中"Data services"选项卡中,选中允许Github读取并分析仓库的选项。
基本功能就是如此,这对广大Python码农来说是个福音了,GitHub帮你关注安全问题,并及时处理。希望GitHub再接再厉,对更多语言提供支持,比如Java,Golang等语言。
领取专属 10元无门槛券
私享最新 技术干货