GitHub 推出 Python 安全警告，識別依賴包的安全漏洞

GitHub 宣布了 Python 安全警告，使 Python 用戶可以訪問依賴圖，并在他們的庫所依賴的包存在安全漏洞時收到警告。 安全警告首次發布是在 2017 年 10 月，為了跟蹤 Ruby 和 JavaScript 程序包中的安全漏洞。據 GitHub 介紹，從那時起，數以百萬計的漏洞被發現，推動了許多補丁的發布。 GitHub 會根據 MITRE 的公共漏洞列表（CVE）來跟蹤 Ruby gems、NPM 和Python 程序包中的公共安全漏洞。CVE 是一個條目列表；每個條目都包含一個標識號、一段描述以及至少一項公共參考。這非常有助于促使管理員快速響應、通過移除易受攻擊的依賴或遷移到安全版本來修復漏洞。 當 GitHub 收到新發布的漏洞通知，它就會掃描公共庫（已經選擇加入的私有庫也會被掃描）。當發現漏洞時，就會向受影響的庫的所有者和有管理員權限的用戶發送安全警告。在默認情況下，用戶每周都會收到一封郵件，其中包含多達 10 個庫的安全警告。用戶也可以自己選擇通過電子郵件、每日摘要電子郵件、Web 通知或 GitHub 用戶界面來接收安全警告。用戶可以在通知設置頁面調整通知頻率。 在某些情況下，對于發現的每個漏洞，GitHub 會嘗試使用機器學習提供修復建議。針對易受攻擊的依賴的安全警告包含一個安全級別和一個指向項目受影響文件的鏈接，如果有的話，它還會提供 CVE 記錄的鏈接和修復建議。通用漏洞評分系統（CVSS）定義了四種可能的等級，分別是低、中、高和嚴重。 據 GitHub 介紹，開始的時候，安全警告只會涵蓋最新的漏洞，并在接下來的數周內添加更多 Python 歷史漏洞。此外，GitHub 永遠不會公開披露任何庫中發現的漏洞。 依賴圖列出了項目的所有依賴，用戶可以從中看出安全警告影響的項目。要查看依賴圖，在項目中點擊 Insights，然后點擊 Dependency graph。 要在 Python 項目中使用依賴圖，需要在 requirements.txt 或 pipfile.lock 文件中定義項目依賴。GitHub 強烈建議用戶在 requirements.txt 文件中定義依賴。 來源：知道創宇