GitHub启用安全告警功能_安全_Andrew Morgan_InfoQ精选文章



 写点什么

登录/注册

GitHub启用了一项安全告警功能，通过扫描项目依赖项检测出存在的隐患。一旦扫描出漏洞，用户会收到告警和漏洞的详细信息，包括严重级别和相应的解决办法。

该特性基于最近推出的依赖项图功能而构建，GitHub 自动扫描项目的依赖项，并将结果展示给用户。

GitHub 旨在通过交叉引用依赖项数据和安全数据尽可能多地识别隐患，并尽快告知用户。他们使用了机器学习技术，并结合了一些公共数据：

具有 CVE ID（National Vulnerability Database 发布的公开漏洞）的漏洞都将被包含在安全告警当中。不过，并不是所有的漏洞都有 CVE ID，很多已公开的漏洞并没有相应的 CVE ID。随着安全数据量的增长，我们将继续竭力更好地识别漏洞。

被识别出来的漏洞会获得一个以 CVE 记录为依据的安全严重级别，用户根据实际情况打上补丁或进行问题修复：

在获知代码仓库中存在依赖项漏洞之后，应该分析它们对项目的影响，在更新依赖项之前要确保这些漏洞已得到修复。如果依赖项没有推出安全修复，建议移除该依赖项，使用安全的同类依赖项来替代。

默认情况下，该特性会扫描所有的公共代码库，也会选择性地扫描部分私有代码库。不过扫描结果不会被公开。目前只支持 Ruby 和 JavaScript 的代码仓库，GitHub 预计在 2018 年支持 Python。 GitHub 官方文档提供了更多相关信息。

查看英文原文： GitHub Launches Security Alerts

评论

发布

暂无评论

英特尔集成光电研究最新进展推动共封装光学和光互连技术进步

在线SQL转Excel(xls/xlsx)工具

“只跑一趟”，小区装维任务主动推荐探索

广电五舟与华为签署合作协议，共同推进昇腾AI产业持续发展

能源势动：电力行业的碳中和该如何实现？

湘江鲲鹏加入昇腾万里伙伴计划，与华为续写合作新篇章

linux实战清理挖矿病毒kthreaddi

python小知识-python泛函数

Python python小知识 7月月更

联想首次详解绿色智城数字孪生平台破解城市双碳升级难点

科技大数据

华为nova 10系列支持应用安全检测功能筑牢手机安全防火墙

基于Netty，徒手撸IM(一)：IM系统设计篇

网络编程 Netty 即时通讯 im开发

扩展你的KUBECTL功能

Kubernetes DevOps kubectl krew

可视化任务编排&拖拉拽 | Scaleph 基于 Apache SeaTunnel的数据集成

Apache SeaTunnel

数据同步数据集成可视化开发数据集成平台拖拉拽

智洋创新与华为签署合作协议，共同推进昇腾AI产业持续发展

解密函数计算异步任务能力之「任务的状态及生命周期管理」

阿里巴巴云原生

阿里云 Serverless 云原生函数计算

应用实践 | 蜀海供应链基于 Apache Doris 的数据中台建设

数据库数据中台 Apaache Doris

一文掌握数仓中auto analyze的使用

华为云开发者联盟

数据库 sql 后端 analyze

使用 MyBatis 操作 Nebula Graph 的实践

mybatis 图数据库 Nebula Graph

多模输入事件分发机制详解

OpenHarmony开发者

赋能数字经济福昕软件出席金砖国家可持续发展高层论坛

Nebula Importer 数据导入实践

图数据库数据导入 Nebula Graph

整理混乱的头文件，我用include what you use

华为云开发者联盟

c++ 开发 C语言技能

上线首月，这家露营地游客好评率高达99.9%！他是怎么做到的?

小程序 SaaS 线上预约预约工具露营

使用 BlocConsumer 同时构建响应式组件和监听状态

flutter ios 安卓移动端开发 7月月更

HUAWEI nova 10系列发布华为应用市场筑牢应用安全防火墙

玩转gRPC—深入概念与原理

gRPC 网络协议后端开发

在线文本行固定长度填充工具

CANN算子：利用迭代器高效实现Tensor数据切割分块处理

华为云开发者联盟

人工智能算子迭代器

实战模拟│JWT 登录认证

经验分享 JWT 开发语言 7月月更跨域认证

托管式服务网络：云原生时代的应用体系架构进化

阿里巴巴云原生

阿里云云原生服务网格

DevEco Device Tool 3.0 Release带来5大能力升级，让智能设备开发更高效

HarmonyOS开发者