GitHub启用安全告警功能_安全_Andrew Morgan_InfoQ精选文章

QCon 演讲火热征集中，快来分享技术实践与洞见！了解详情 



 写点什么

登录/注册

GitHub启用了一项安全告警功能，通过扫描项目依赖项检测出存在的隐患。一旦扫描出漏洞，用户会收到告警和漏洞的详细信息，包括严重级别和相应的解决办法。

该特性基于最近推出的依赖项图功能而构建，GitHub 自动扫描项目的依赖项，并将结果展示给用户。

GitHub 旨在通过交叉引用依赖项数据和安全数据尽可能多地识别隐患，并尽快告知用户。他们使用了机器学习技术，并结合了一些公共数据：

具有 CVE ID（National Vulnerability Database 发布的公开漏洞）的漏洞都将被包含在安全告警当中。不过，并不是所有的漏洞都有 CVE ID，很多已公开的漏洞并没有相应的 CVE ID。随着安全数据量的增长，我们将继续竭力更好地识别漏洞。

被识别出来的漏洞会获得一个以 CVE 记录为依据的安全严重级别，用户根据实际情况打上补丁或进行问题修复：

在获知代码仓库中存在依赖项漏洞之后，应该分析它们对项目的影响，在更新依赖项之前要确保这些漏洞已得到修复。如果依赖项没有推出安全修复，建议移除该依赖项，使用安全的同类依赖项来替代。

默认情况下，该特性会扫描所有的公共代码库，也会选择性地扫描部分私有代码库。不过扫描结果不会被公开。目前只支持 Ruby 和 JavaScript 的代码仓库，GitHub 预计在 2018 年支持 Python。 GitHub 官方文档提供了更多相关信息。

查看英文原文： GitHub Launches Security Alerts

评论

发布

暂无评论

稀疏场景高性能训练方案演变|京东广告算法架构体系最佳实践

京东零售技术

人工智能架构算法 GPU算力

《金融电子化》昆仑银行在应用性能监控（APM）平台的实践与探索

游戏发行代理服务商需要具备什么能力？

Geek一起出海

XMind 转 Excel 与 CSV 的思路与实现

Excel XMind 测试工具 csv Java’

使用 HashiCorp Vault 保护 NGINX 中的 SSL 私钥

NGINX开源社区

HashiCorp SSL/TLS nginx 开源版安全防护保护 SSL 密钥

一文带你简单了解多租户模型定义以及好处

Wireshark中的ARP协议包分析

小齐写代码

Alert 趋势图与原始指标图整体优化、指标趋势图查询异常中台功能

提升系统管理：监控和可观察性在DevOps中的作用

禅道项目管理

项目管理 DevOps 系统管理

【亿级数据专题】「分布式消息引擎」盘点本年度我们探索服务的保障容量的三大关键方案实现

分布式熔断限流降级 2024年第二十七篇文章

四方维ECAD模型成为元器件的新标配

【年后跳槽必看篇-非广告】Kafka核心知识点-第四章

通知协程退出(取消)的几种方式

「一手好牌」｜博睿数据新年掼蛋礼盒：开年好运，事业高飞！

第38期 | GPTSecurity周报

Java 编程指南：入门，语法与学习方法

Java 程序人生编程语言软件工程后端开发

IPQ9574 and QCN9274 Industrial grade and commercial difference? Performance, transmission, etc

qcn9274 ipq9574

如何对混合日志进行自动化解析

华为云开发者联盟

开发华为云华为云开发者联盟

Covalent Network：全新链上协议收入体系，财务透明革命引领者

创业7年复盘，中美企业服务市场差异浅析

AI 数据分析

《深入理解计算机系统（原书第3版）》PDF

程序员李木子

10V单通道负载开关