GitHub安全警报现在支持Python项目现在可用于Python项目的安全警报

在此之前支持JavaScript和Ruby之后,GitHub本周更新了其安全警报功能,以支持Python项目。

该功能于去年11月推出,它的工作原理是分析项目的依赖关系和警告所有者,如果他们的项目使用的是旧版本的易受已知漏洞攻击的库。

安全警报现在可用于Python项目

默认情况下,在依赖关系图选项下的每个GitHub项目的“数据洞察”选项卡中显示这些安全警报。

该图显示了基于每个项目中包含的清单文件在编码项目中加载的所有库的树状结构。

支持的清单文件包括package.json(对于JavaScript项目)gemfiles(对于Ruby项目),以及requirements.txt或Pipfile.lock(对于Python项目)。

如果用户无法检查该页面是否有新条目,GitHub还允许开发人员设置不同的通知方法,例如:

ϟGitHub界面中的横幅

ϟGitHub域上的Web通知

ϟ每个新漏洞的电子邮件通知

ϟ 新漏洞的每日或每周电子邮件摘要

安全警报产生了积极影响

今年3月,在推出该功能五个月后,GitHub自豪地吹捧改进的安全统计数据。

到12月1日和我们发布后不久,存储库所有者解决了超过450,000个已识别的漏洞,要么删除依赖关系,要么更改为安全版本。从那时起,我们在检测的前七天内解决的漏洞率约为30%。此外,15%的警报在七天内被解雇 - 这意味着将近一半的警报在一周内得到响应。在未解决或未解决的其余警报中,大多数属于在过去90天内没有贡献的存储库。

换句话说,对于几乎所有最近贡献的存储库,我们看到维护者在不到七天的时间内修补漏洞。

到12月1日和我们发布后不久,存储库所有者解决了超过450,000个已识别的漏洞,要么删除依赖关系,要么更改为安全版本。从那时起,我们在检测的前七天内解决的漏洞率约为30%。此外,15%的警报在七天内被解雇 - 这意味着将近一半的警报在一周内得到响应。在未解决或未解决的其余警报中,大多数属于在过去90天内没有贡献的存储库。 换句话说,对于几乎所有最近贡献的存储库,我们看到维护者在不到七天的时间内修补漏洞。

GitHub已经看到如此大规模改进的原因之一是因为默认情况下为所有公共项目启用了安全警报功能,而私有存储库的维护者必须手动启用它。

安全警报功能并不完美,因为它依赖于CVE漏洞识别系统来跟踪已知的安全漏洞,这意味着如果漏洞尚未收到CVE,或者他们的条目尚未在NVD门户上更新(GitHub从哪里获取)其数据),警报系统可能无法涵盖所有​​安全问题。总而言之,它总比没有好。

GitHub没有说明接下来会有什么其他编程语言接收通知,但由于使用了清单文件和开发环境的普及,.NET项目是一个强有力的候选者。此外,微软收购了GitHub,这也可能在选择下一个项目时发挥作用。

  • 发表于:
  • 原文链接https://www.bleepingcomputer.com/news/security/github-security-alerts-now-support-python-projects/
  • 如有侵权,请联系 yunjia_community@tencent.com 删除。

扫码关注云+社区

领取腾讯云代金券