写点什么

Dependabot:自动创建 GitHub PR 修复潜在漏洞

  • 2019-02-13
  • 本文字数:887 字

    阅读完需:约 3 分钟

Dependabot:自动创建GitHub PR修复潜在漏洞

Dependabot基于GitHub Security Advisory API,旨在帮助开发人员跟踪依赖项、监控程序的安全性,并通过自动创建 PR 来移除任何潜在的漏洞。


Dependabot 联合创始人 Gray Baker 在一篇博文中透露,Ruby 应用程序很容易就会引入 100 多个依赖项。而这个数字对 JavaScript 来说则更高,超过了 700。而在这 700 多个依赖项中只有一小部分(不到 5%)似乎是直接依赖项(即开发人员有意识要使用的依赖项),这导致了更高的复杂性。


这些依赖项大多具有“传递性”,也就是说它们被其他依赖项所依赖,它们之间没有直接的联系,与使用它们的应用程序之间也没有。


应用程序所引入的传递性依赖项的数量与每种语言使用的包注册表背后的原理之间肯定存在某种关联。事实上,众所周知,NPM 是迄今为止最大的存储库,主要是因为它支持创建小型包,提供了很多其他包所依赖的简单功能。几年前,当一个用于填充字符串的小型包从 NPM 中移除并破坏了 2 亿多个其他包和应用程序时,这个问题引起了人们的关注。与之相反的是,Python 生态系统在这方面看起来要健康得多,其传递性依赖项的数量与直接依赖项的数量相当。


对于数十或数百个依赖项,要让它们保持最新以便引入安全修复就成了一项关键任务。这就是为什么 GitHub 推出了Security Alerts功能,当系统检测到某个代码库出现 Common Vulnerabilities and Exposures (CVE)列表提到中的漏洞时就会通知代码库管理员。这为管理员提供了宝贵的时间,让他们可以迅速做出反应,并通过升级到安全版本来修复漏洞。可惜的是,他们需要识别出哪个版本修复了漏洞,并通过创建 PR 来管理代码变更。


Dependabot 就是为了解决这个问题而生的,它可以在 GitHub 上自动创建 PR 并隔离需要更新的依赖项。这样就可以将监控和解决潜在漏洞的过程与持续集成(CI)工作流程集成起来,确保 PR 不会破坏应用程序。对于没有持续集成管道的项目,Dependabot 为给定更新指定了 CI 通过率。这个数字是基于所有执行相同更新的项目计算出来的,例如,有 3%的项目更新未通过 CI 测试。


Dependabot 可以在GitHub Marketplace上获得。


查看英文原文https://www.infoq.com/news/2019/02/github-dependabot-security


2019-02-13 08:008182
用户头像

发布了 731 篇内容, 共 454.7 次阅读, 收获喜欢 2003 次。

关注

评论

发布
暂无评论
发现更多内容

JNPF实操│流程设计功能介绍及应用场景

不在线第一只蜗牛

低代码 流程

【转】什么是平台工程

虚实的星空

新一代基于大模型的生成式BI,释放数据全面价值

中关村科金

一文读懂Partisia Blockchain 的互操作方案:Oracle 服务框架

加密眼界

使用Python过滤指定进程的技巧

霍格沃兹测试开发学社

喜讯!和鲸科技入选“算力中关村”—— 2024 算力技术创新与应用服务案例集

ModelWhale

AI算力

不只有 Spring,这四款Java 基础开发框架同样值得关注!

快乐非自愿限量之名

职场<火焰杯>测试开发大赛开始报名啦!

测吧(北京)科技有限公司

测试

Ubuntu系统上定制文件系统

芯动大师

ubuntu 处理器 全志

为什么我反对过度使用TypeScript?

前夕

typescript 程序员 前端 可维护性

Scaling law信仰下,新华三网络“越过山丘”

脑极体

AI

什么是IPD项目管理模式?聊聊IPD下的产品研发流程

不在线第一只蜗牛

人工智能 IPD 产品服务

Penpad 再获 Animoca Brands 投资,全新生态历程

西柚子

一文读懂Partisia Blockchain 的互操作方案:Oracle 服务框架

大瞿科技

看完这篇,你就懂 SQL 生成工具了

秃头小帅oi

ES 数据写入方式:直连 VS Flink 集成系统

字节跳动云原生计算

elasticsearch 云搜索

ETL中双流合并和多流合并的区别

RestCloud

数据处理 join ETL 多流合并 双流合并

JNPF实操│流程审批加签功能讲解

快乐非自愿限量之名

低代码 流程审批

深度解析Partisia Blockchain 的互操作方案:Oracle 服务框架

股市老人

PPT背景图片怎么设置?2个无版权图片网站推荐!

彭宏豪95

效率工具 PPT 在线白板 PPT模板 办公软件

从流动性质押到再质押创新,Persistence如何影响Cosmos生态

TVBee

区块链 Cosmos 再质押 Persistence xprt

Python爬取淘宝商品详情信息数据接口

tbapi

重磅解析 Partisia Blockchain 的互操作方案:Oracle 服务框架

石头财经

什么是云原生

虚实的星空

云原生

一文读懂Partisia Blockchain 的互操作方案:Oracle 服务框架

BlockChain先知

海量数据处理技术,激发金融数据潜能

腾讯云大数据

大数据

JNPF实操│来,一起体验一流程多表单到底有多便捷

EquatorCoco

低代码 项目开发

碳实践 | 一文读懂LCA产品生命周期环境影响评价

AMT企源

能碳管理 碳管理

Dependabot:自动创建GitHub PR修复潜在漏洞_语言 & 开发_Sergio De Simone_InfoQ精选文章