聚焦源代码安全,网罗国内外最新资讯!
翻译:360代码卫士团队
上周,GitHub新增针对Python项目的安全警报功能,此前颁布的是针对JavaScript和Ruby的支持。
这项新功能于去年11月推出,它分析某个项目的依赖关系后如果发现项目运行易受已知漏洞影响的库的老旧版本,则会向其所有人提出警告消息。
安全警报功能支持 Python 项目
在默认情况下,在每个 GitHub 项目的“依赖关系图”选项下的 “Insights” 标签下都会展示这些警报功能。
该关系图展示了加载在编码项目内部的所有库的树状结构,而这些库基于每个项目中包含的清单文件之上。受支持的清单文件包括 package.json(JavaScript 项目)、gemfiles(Ruby 项目)以及 requirements.txt 或 Pipfile.lock(Python 项目)。
如果用户不想被页面是否出现新条目的检查所干扰,那么开发者可通过 GitHub 设置不同的通知方法,如:
GitHub 界面中的横幅
GitHub 域名商的 Web 通知
针对每个新漏洞的邮件通知
针对新漏洞的每日或每周邮件通知
安全警报功能已产生积极影响
今年三月份,即 GitHub 推出安全警报功能的五个月之后,GitHub 说明了这个安全功能推出后产生的积极成果。
GitHub 指出,“截止12月1日该功能推出后不久,存储库解决了超过45万个已识别出的漏洞,要么删除依赖关系,要么更改为安全版本。此后,在检测后前七天内漏洞的解决率为30%左右。另外,15%的安全警告在七天内得到解决,这意味着接近一半的警报信息在一周内得到相应。在余下的无法解决或未解决的警报信息中,多数属于在过去90天内未提供贡献的存储库。”
换句话说,对于几乎所有具有最新贡献的存储库而言,维护人员在不到七天的时间里就着手修复漏洞。
GitHub上之所以出现如此大的改进,是因为在默认情况下,所有公共项目默认启用安全警报功能,而私有库的维护人员则必须手动启用该功能。
这个安全警报功能并不完美,因为它依靠 CVE 漏洞识别系统跟踪已知的安全漏洞,意味着如果漏洞未获得 CVE 编号或其条目并未在 NVD 门户上更新(GitHub 的数据来源),那么警报系统可能无法涵盖所有的安全问题。总而言之好,有总比没有好。
GitHub 并未说明之后会接收针对何种编程语言的通知消息,但鉴于清单文件的使用和开发环境的流行程度而言,很有可能是 .NET 项目。同时,微软收购 GitHub 的事实可能也会影响项目选择结果。
https://www.bleepingcomputer.com/news/security/github-security-alerts-now-support-python-projects/
领取专属 10元无门槛券
私享最新 技术干货