GitHub 安全告警检测出了 400 多万个漏洞

  • Sergio De Simone
  • 谢丽

2018 年 3 月 28 日

话题:开源GitHub语言 & 开发

看新闻很累?看技术新闻更累?试试下载 InfoQ 手机客户端,每天上下班路上听新闻,有趣还有料!

据 GitHub 介绍,去年十月推出的安全告警极大地减少了开发人员消除 Ruby 和 JavaScript 项目漏洞的时间

当检测到他们的库中有公共漏洞列表上列出的库漏洞时,GitHub 安全告警就会通知库管理员。这对他们而言是一个重要的提醒,他们可以快速反应,修复漏洞,消除有漏洞的依赖或者转到安全版本。

按照 GitHub 的说法,在所有显示的警告中,有将近一半的在一周之内得到了响应,前 7 天的漏洞解决率大约为 30%。据 GitHub 介绍,实际上,情况可能更好,因为当把统计限制在最近有贡献的库时,也就是说过去 90 天中有贡献的库,98% 的库在 7 天之内打上了补丁。总体上,GitHub 安全告警已经报告了 50 多万个库中的 400 多万个漏洞。

GitHub 安全告警会扫描所有的公共库,查找漏洞,而对于私有库,只扫描启用了依赖图的。对于发现的每个漏洞,库管理员不仅会收到一般信息,还会包含严重性级别和解决步骤。如果不知道特定依赖的安全版本,那么 GitHub 会设法推荐一个类似的、安全的依赖,用于替代不安全的库。

安全通知有几种发送方式:显示一条警告,和其他通知一起或者通过电子邮件。除了每次发现漏洞时发送一封电子邮件外,GitHub 近日还推出了每周摘要电子邮件,其中最多汇总 10 个库的漏洞警告。

如上所述,安全告警目前仅支持使用 Ruby 或 JavaScript 编写的库,预计 2018 年会支持 Python。

查看英文原文GitHub Security Alerts Detected Over Four Millions Vulnerabilities

开源GitHub语言 & 开发