写点什么

GitHub 推出 Python 安全警告

  • 2018-07-26
  • 本文字数:823 字

    阅读完需:约 3 分钟

GitHub 宣布了 Python 安全警告,使 Python 用户可以访问依赖图,并在他们的库所依赖的包存在安全漏洞时收到警告。

安全警告首次发布是在2017 年10 月,为了跟踪Ruby 和JavaScript 程序包中的安全漏洞。据GitHub 介绍,从那时起,数以百万计的漏洞被发现,推动了许多补丁的发布。

GitHub 会根据 MITRE 的公共漏洞列表(CVE)来跟踪Ruby gems、NPM 和Python 程序包中的公共安全漏洞。CVE 是一个条目列表;每个条目都包含一个标识号、一段描述以及至少一项公共参考。这非常有助于促使管理员快速响应、通过移除易受攻击的依赖或迁移到安全版本来修复漏洞。

当GitHub 收到新发布的漏洞通知,它就会扫描公共库(已经选择加入的私有库也会被扫描)。当发现漏洞时,就会向受影响的库的所有者和有管理员权限的用户发送安全警告。在默认情况下,用户每周都会收到一封邮件,其中包含多达10 个库的安全警告。用户也可以自己选择通过电子邮件、每日摘要电子邮件、Web 通知或GitHub 用户界面来接收安全警告。用户可以在通知设置页面调整通知频率。

在某些情况下,对于发现的每个漏洞,GitHub 会尝试使用机器学习提供修复建议。针对易受攻击的依赖的安全警告包含一个安全级别和一个指向项目受影响文件的链接,如果有的话,它还会提供CVE 记录的链接和修复建议。通用漏洞评分系统(CVSS)定义了四种可能的等级,分别是低、中、高和严重。

据GitHub 介绍,开始的时候,安全警告只会涵盖最新的漏洞,并在接下来的数周内添加更多Python 历史漏洞。此外,GitHub 永远不会公开披露任何库中发现的漏洞。

依赖图列出了项目的所有依赖,用户可以从中看出安全警告影响的项目。要查看依赖图,在项目中点击Insights,然后点击Dependency graph。

要在Python 项目中使用依赖图,需要在requirements.txt 或pipfile.lock 文件中定义项目依赖。GitHub 强烈建议用户在requirements.txt 文件中定义依赖。

要了解更多信息,请查看 GitHub 文档

查看英文原文: GitHub Security Alerts for Python

2018-07-26 08:212728
用户头像

发布了 1008 篇内容, 共 422.6 次阅读, 收获喜欢 346 次。

关注

评论

发布
暂无评论
发现更多内容

模块三作业

Ryan

构架

架构训练营学习总结

Geek_b35d92

中台之建模篇

涛哥 数字产品和业务架构

中台 建模

数据库原理及MySQL应用 | 视图

TiAmo

MySQL 数据库· 12月月更

《绩效领导力:使用OKR成就超出期望的未来组织》读后感

Bruce Talk

OKR 敏捷

2022-12-17:订单最多的客户。以下数据,结果输出3。请问sql语句如何写? DROP TABLE IF EXISTS `orders`; CREATE TABLE `orders` ( `

福大大架构师每日一题

数据库 福大大

微服务真的是万能解药吗?

Jackpop

架构实战 2 - 微信朋友圈高性能复杂度分析

架构实战营 「架构实战营」

在局域网搭建一个带 web 操作页面的 git 版本服务器 - Gitlab

eng八戒

git DevOps gitlab 版本管理

房产|1-11月份全国房地产开发投资下降9.8%

前嗅大数据

【审计思路】如何快速定位SQLMS注入漏洞?

网络安全学海

网络安全 信息安全 渗透测试 WEB安全 漏洞挖掘

架构误区系列8:需求===架构设计

agnostic

架构实战营10期-作业2

炮仗

Verilog的多分支语句

芯动大师

Verilog Verilog语法 Verilog多分支语句

2 微信朋友圈高性能架构

梁山伯

房产|11月全国70城房价出炉!你关心的城市房价有何变化

前嗅大数据

OpenTelemetry系列 (三)| 神秘的采集器 - Opentelemetry Collector

骑牛上青山

Java Go 调用链 微服务调用链

工赋开发者社区 | 工业4.0时代,制造业企业发展智慧工厂之策略解析

工赋开发者社区

架构实战模块二

GeekMLS

#架构实战营

架构实战营模块2作业

程序员小张

「架构实战营」

这里聊聊扫地机的 IOT 开发

eng八戒

IoT ROS 移动机器人 阿里云生活物联网平台 涂鸦

Python 为什么如此设计?

Python猫

Python

架构实战营第 10 期-模块二作业:微信朋友圈高性能复杂度分析

kaizen

「架构实战营」

跨平台应用开发进阶(二十一) :uni-app 路由传参参数丢失问题解决方案探究

No Silver Bullet

uni-app 跨平台应用 参数传递 12月月更 参数丢失

在 Windows 搭建 SVN 服务

eng八戒

svn DevOps 服务器 版本管理工具

什么是MySQL插入意向锁?

江南一点雨

MySQL

跨平台应用开发进阶(二十三) :一文走近 testflight 上架

No Silver Bullet

uni-app testflight 12月月更 应用上架

第二周作业

不爱学习的程序猿

作业

SpringBoot 整合 Redis,再也不用求别人了

@下一站

redis 程序设计 12月日更 12月月更 springboot整合redis

ceph的组件及数据写入流程

好吃不贵

跨平台应用开发进阶(十九) :position:fixed 虚拟按键触发后无法生效问题分析及解决方案探究

No Silver Bullet

uni-app 跨平台 自定义组件 12月月更 虚拟按键

GitHub推出Python安全警告_语言 & 开发_Diogo Carleto_InfoQ精选文章