GitHub 将为使用有漏洞开源库的开发者提供警告信息

众所周知，现在开发软件已经变得不难，因为现在软件项目通常使用大量的依赖库。开发者虽然非常容易开发项目，简单而又方便了，但是一旦上游库有 Bug 将会影响到下游软件。

现在最大的开源软件开发平台 GitHub 宣布了安全警告服务，将搜索依赖寻找已知漏洞然后发送给开发者，以便帮助开发者尽可能快的打上补丁修复漏洞。GitHub 将会识别所有使用受影响依赖的公开项目，使用私有库的项目则需要选择加入才能使用安全警告服务。

最近，GitHub 在 ”Insights” 板块推出了 “依赖图 (Dependency Graph)” 功能，“依赖图” 这个新功能旨在提醒开发人员其项目依赖中出现了缺陷。该功能已为公共库自动启用，不过为私有库设置为可选项。当检测到项目中使用了易受攻击的库时，“依赖图” 中会展示一则 “已知安全漏洞” 警告信息。管理人员也可以配置邮件警告信息、网络提醒以及经由用户界面的警告信息，而且他们可以增加可看到该警告信息的团队和成员名单。

GitHub 通过追踪 CVE 列表中 Ruby gems 和 NPM 包中的缺陷来识别易受攻击的项目。当添加一个新缺陷后，GitHub 会识别出所有使用受影响版本的库并通知其所有者。当 GitHub 检测出您潜在的漏洞时，GitHub 将显示建议更新的依赖关系。如果存在已知的安全版本，我们将选择一个使用机器学习和公开可用的数据，并将其包含在我们的建议中。

目前 GitHub 追踪的漏洞是已分配 CVE 编号的漏洞，不过由于很多公开披露的缺陷并不具有该编号，因此 GitHub 公司将尝试警告这类不具备 CVE 编号的缺陷。GitHub 表示，随着安全数据的增加，公司会在识别漏洞方面做得更好。

这是使用世界上最大的开源数据集合的下一步，可以尽量帮助我们保持代码安全。依赖关系图和安全警报目前仅支持 JavaScript 和 Ruby，将在 2018 年提供 Python 支持。