Оповещения О Безопасности GitHub Для Python


GitHub добавил Python в список языков, на которых вы можете проверить предупреждения о безопасности. Разработчики Python теперь могут видеть проблемы на графике зависимостей и получать предупреждения о безопасности всякий раз, когда их репозитории зависят от пакетов с известными уязвимостями безопасности.

Предупреждения о безопасности GitHub были впервые объявлены в октябре прошлого года для разработчиков, использующих пакеты Ruby и JavaScript, и GitHub говорит, что с момента запуска было выявлено четыре миллиона уязвимостей, что вызвало выпуск многих исправлений.

Хотя это звучит драматично, на самом деле это означает не то, что GitHub обнаружил четыре миллиона новых уязвимостей. Вместо этого они взяли список уязвимых драгоценных камней Ruby и пакетов JavaScript npm, в которых уязвимости уже были идентифицированы и перечислены в списке распространенных уязвимостей и рисков MITRE. Затем этот список был сопоставлен с графиками зависимостей всех общедоступных репозиториев для Ruby и JavaScript, и GitHub обнаружил четыре миллиона уязвимостей в более чем 500 000 репозиториях и отобразил предупреждение администраторам репозиториев на их графиках зависимостей и домашних страницах репозитория.

В дополнение к выделению зависимостей, которые являются источником потенциальной уязвимости, и их серьезности по четырехбалльной шкале-низкой, Умеренной, высокой или критической — GitHub стремится обеспечить решение проблемы.

Команда GitHub говорит:

«С момента запуска предупреждений о безопасности в прошлом году мы приняли активное участие в предупреждении сопровождающих проектов об известных уязвимых библиотеках в RubyGems для Ruby и npm для Javascript. Почти во всех случаях есть новая, исправленная версия библиотеки, которую мы можем рекомендовать в предупреждении.»

График зависимостей-это диаграмма, на которой отображаются проекты, от которых зависит ваш код, и проекты, которые зависят от вашего кода. Его можно включить, нажав Insights под именем репозитория, а затем нажав График зависимостей на левой боковой панели.

Недавно объявленная поддержка Python означает, что пользователи Python теперь могут получать доступ к графу зависимостей и получать предупреждения о безопасности всякий раз, когда их репозитории зависят от пакетов с известными уязвимостями безопасности. Проекты Python должны иметь свои зависимости, определенные в requirements.txt или пипфайл.заблокируйте файл, чтобы включить график зависимостей. 

GitHub говорит, что новая платформа была запущена с относительно небольшим набором недавних уязвимостей. В ближайшие недели в базу данных будет добавлено больше исторических уязвимостей Python, поэтому предупреждения о безопасности станут более полезными. По мере обнаружения новых уязвимостей в библиотеках Python администраторам репозиториев Python, чьи репозитории показывают зависимости от этих библиотек, будут отправляться предупреждения. 


Добавить комментарий