【AICon】探索RAG 技术在实际应用中遇到的挑战及应对策略!AICon精华内容已上线73%>>> 了解详情
写点什么

GitHub 推出 Python 安全警告

  • 2018-07-26
  • 本文字数:823 字

    阅读完需:约 3 分钟

GitHub 宣布了 Python 安全警告,使 Python 用户可以访问依赖图,并在他们的库所依赖的包存在安全漏洞时收到警告。

安全警告首次发布是在2017 年10 月,为了跟踪Ruby 和JavaScript 程序包中的安全漏洞。据GitHub 介绍,从那时起,数以百万计的漏洞被发现,推动了许多补丁的发布。

GitHub 会根据 MITRE 的公共漏洞列表(CVE)来跟踪Ruby gems、NPM 和Python 程序包中的公共安全漏洞。CVE 是一个条目列表;每个条目都包含一个标识号、一段描述以及至少一项公共参考。这非常有助于促使管理员快速响应、通过移除易受攻击的依赖或迁移到安全版本来修复漏洞。

当GitHub 收到新发布的漏洞通知,它就会扫描公共库(已经选择加入的私有库也会被扫描)。当发现漏洞时,就会向受影响的库的所有者和有管理员权限的用户发送安全警告。在默认情况下,用户每周都会收到一封邮件,其中包含多达10 个库的安全警告。用户也可以自己选择通过电子邮件、每日摘要电子邮件、Web 通知或GitHub 用户界面来接收安全警告。用户可以在通知设置页面调整通知频率。

在某些情况下,对于发现的每个漏洞,GitHub 会尝试使用机器学习提供修复建议。针对易受攻击的依赖的安全警告包含一个安全级别和一个指向项目受影响文件的链接,如果有的话,它还会提供CVE 记录的链接和修复建议。通用漏洞评分系统(CVSS)定义了四种可能的等级,分别是低、中、高和严重。

据GitHub 介绍,开始的时候,安全警告只会涵盖最新的漏洞,并在接下来的数周内添加更多Python 历史漏洞。此外,GitHub 永远不会公开披露任何库中发现的漏洞。

依赖图列出了项目的所有依赖,用户可以从中看出安全警告影响的项目。要查看依赖图,在项目中点击Insights,然后点击Dependency graph。

要在Python 项目中使用依赖图,需要在requirements.txt 或pipfile.lock 文件中定义项目依赖。GitHub 强烈建议用户在requirements.txt 文件中定义依赖。

要了解更多信息,请查看 GitHub 文档

查看英文原文: GitHub Security Alerts for Python

2018-07-26 08:212283
用户头像

发布了 1008 篇内容, 共 372.3 次阅读, 收获喜欢 340 次。

关注

评论

发布
暂无评论
发现更多内容

开发和学习时需要造一些kafka消息,于是写了段脚本实现,在这里记录备忘,后面会常用到

程序员欣宸

kafka 11月日更

数据预处理和特征工程-特征选择-Wrapper包装法

烧灯续昼2002

Python 机器学习 算法 sklearn 11月月更

ReactDOM.render在react源码中执行之后发生了什么?

flyzz177

React

腾讯前端高频手写面试题

helloworld1024fd

JavaScript

IO原理(一):从BIO到NIO

苏格拉格拉

Linux io nio 多路复用

CSS 定位

默默的成长

CSS 前端 11月月更

Java注解与原理分析

Java 架构

Java中的BigDecimal比较大于小于等于,四舍五入保留几位(setScale方法详解),加减乘除取余

共饮一杯无

Java BigDecimal 11月月更

记一次京东前端面试被问到的题目

helloworld1024fd

JavaScript

自制操作系统日记(5):跳转到C语言执行

操作系统

能否手写vue3响应式原理-面试进阶

helloworld1024fd

JavaScript

面试官:说说Event Loop事件循环、微任务、宏任务

loveX001

JavaScript

CSS高级技巧

默默的成长

CSS 前端 11月月更

React源码分析(三):useState,useReducer

goClient1992

React

手撕常见JS面试题

helloworld1024fd

JavaScript

面试官让你说说react状态管理?

beifeng1996

React

Vue.$nextTick的原理是什么-vue面试进阶

bb_xiaxia1998

Vue

一份vue面试知识点梳理清单

bb_xiaxia1998

Vue

面试官:vue2和vue3的区别有哪些?

bb_xiaxia1998

Vue

这些js原型及原型链面试题你能做对几道

loveX001

JavaScript

面试官:React怎么做性能优化

beifeng1996

React

我的react面试题笔记整理(附答案)

beifeng1996

React

我的react面试题整理2(附答案)

beifeng1996

React

React源码分析1-jsx转换及React.createElement

goClient1992

React

React源码分析(二)渲染机制

goClient1992

React

React Context源码是怎么实现的呢

flyzz177

React

湖仓一体电商项目(十一):编写写入DWS层业务代码

Lansonli

湖仓一体电商项目 11月月更

前端面试如何回答,这些题目或许可以给你一些提示

loveX001

JavaScript

一年前端面试打怪升级之路

loveX001

JavaScript

前端vue面试题

bb_xiaxia1998

Vue

细说react源码中的合成事件

flyzz177

React

GitHub推出Python安全警告_语言 & 开发_Diogo Carleto_InfoQ精选文章