写点什么

GitHub 推出 Python 安全警告

  • 2018-07-26
  • 本文字数:823 字

    阅读完需:约 3 分钟

GitHub 宣布了 Python 安全警告,使 Python 用户可以访问依赖图,并在他们的库所依赖的包存在安全漏洞时收到警告。

安全警告首次发布是在2017 年10 月,为了跟踪Ruby 和JavaScript 程序包中的安全漏洞。据GitHub 介绍,从那时起,数以百万计的漏洞被发现,推动了许多补丁的发布。

GitHub 会根据 MITRE 的公共漏洞列表(CVE)来跟踪Ruby gems、NPM 和Python 程序包中的公共安全漏洞。CVE 是一个条目列表;每个条目都包含一个标识号、一段描述以及至少一项公共参考。这非常有助于促使管理员快速响应、通过移除易受攻击的依赖或迁移到安全版本来修复漏洞。

当GitHub 收到新发布的漏洞通知,它就会扫描公共库(已经选择加入的私有库也会被扫描)。当发现漏洞时,就会向受影响的库的所有者和有管理员权限的用户发送安全警告。在默认情况下,用户每周都会收到一封邮件,其中包含多达10 个库的安全警告。用户也可以自己选择通过电子邮件、每日摘要电子邮件、Web 通知或GitHub 用户界面来接收安全警告。用户可以在通知设置页面调整通知频率。

在某些情况下,对于发现的每个漏洞,GitHub 会尝试使用机器学习提供修复建议。针对易受攻击的依赖的安全警告包含一个安全级别和一个指向项目受影响文件的链接,如果有的话,它还会提供CVE 记录的链接和修复建议。通用漏洞评分系统(CVSS)定义了四种可能的等级,分别是低、中、高和严重。

据GitHub 介绍,开始的时候,安全警告只会涵盖最新的漏洞,并在接下来的数周内添加更多Python 历史漏洞。此外,GitHub 永远不会公开披露任何库中发现的漏洞。

依赖图列出了项目的所有依赖,用户可以从中看出安全警告影响的项目。要查看依赖图,在项目中点击Insights,然后点击Dependency graph。

要在Python 项目中使用依赖图,需要在requirements.txt 或pipfile.lock 文件中定义项目依赖。GitHub 强烈建议用户在requirements.txt 文件中定义依赖。

要了解更多信息,请查看 GitHub 文档

查看英文原文: GitHub Security Alerts for Python

2018-07-26 08:212612
用户头像

发布了 1008 篇内容, 共 411.0 次阅读, 收获喜欢 346 次。

关注

评论

发布
暂无评论
发现更多内容

一文详述如何卸载SQL Server 2019及其 DBMS

Regan Yue

数据库 SQL语言 9月日更

腾讯安全李滨:腾讯云数据安全与隐私保护探索与实践

腾讯安全云鼎实验室

隐私保护 数据安全

腾讯云数据库TDSQL:分布式数据库,你真的了解吗?

腾讯云数据库

数据库 tdsql

33张图解析ReentrantReadWriteLock源码

程序猿阿星

源码分析 读写锁 ReentrantReadWriteLock 源码解读

让GitHub炸锅的深入理解MySQL实战手册,竟出自阿里云“藏经阁”

Java~~~

Java MySQL 数据库 架构 面试

在职字节师兄分享出了这份数据结构手册,LeetCode现已开放下载

Java~~~

Java 架构 面试 算法 刷题

腾讯云分布式数据库TDSQL再获认可,荣获“最佳保险数字化转型综合解决方案奖”

腾讯云数据库

数据库 tdsql

分布式消息流平台:不要只想着Kafka,还有Pulsar

华为云开发者联盟

kafka 云原生 pulsar 消息 分布式消息流平台

出自清华大神之手的JVM实战手册,刚上架GitHub点赞就达到85k

Java~~~

Java 架构 面试 JVM 多线程

Github星标百万!终于有人将Spring技术精髓收录成册

Java 编程 程序员 架构 面试

如何实现 Android 短视频跨页面的流畅续播?

阿里云CloudImagine

android App 音视频 Video播放器 APP开发

吊打一切现有开源OCR项目:效果再升7%,速度提升220%

百度开发者中心

最佳实践 方法论 开源技术

别人就算了,开发人员都不知道低代码的起源就糟糕了

低代码小观

开发者 低代码 开发工具 无代码 低代码起源

实战 实时物体检测YOLOv3 CNN卷积神经网络John 易筋 ARTS 打卡 Week 63

John(易筋)

ARTS 打卡计划

腾讯云为金融换“心“,TDSQL的发展历程和特性

腾讯云数据库

数据库 tdsql

在FL Studio中如何使用混音器的效果

懒得勤快

滴滴最看重的SpringCloud手册曾被疯狂转载,现在学还有用吗?

Java~~~

Java 架构 面试 微服务 Spring Cloud

腾讯云TDSQL:真正面向金融行业的典型场景

腾讯云数据库

数据库 tdsql

TDSQL云时代,我们需要怎样的数据库?

腾讯云数据库

数据库 tdsql

求阿里大神整理的分布式核心笔记出炉了,GitHub刚发布就标星85k

Java~~~

Java 负载均衡 架构 面试 分布式

腾讯云TDSQL,从数据库巨人身上撕开一道口子

腾讯云数据库

数据库 tdsql

TDSQL演进三部曲

腾讯云数据库

tdsql #数据库

TLS协议分析 (八) 实现与开源项目

OpenIM

腾讯云数据库TDSQL发展的整体布局和应对策略

腾讯云数据库

数据库 tdsql

Elasticsearch可观测最佳实践分享!3分钟带你快速入门!

观测云

elasticsearch

GitHub上火了这份堪称神级的SpringBoot手册,竟出自滴滴之手

Java~~~

Java spring 架构 面试 Spring Boot

爆赞!GitHub上首本IntelliJ IDEA操作手册,标星果然百万名不虚传

Java~~~

Java 架构 面试 IDEA 架构师

腾讯云数据库TDSQL,新基建大潮下的弄潮儿

腾讯云数据库

数据库 tdsql

Mobileye:开出车库,上路驰骋

科技新消息

自主研发数据库TDSQL和TBase核心架构揭秘和实践

腾讯云数据库

数据库 tdsql

实时消息RTM| 多活架构中的数据一致性问题

anyRTC开发者

音视频 WebRTC 数据一致性 实时消息 数据容灾

GitHub推出Python安全警告_语言 & 开发_Diogo Carleto_InfoQ精选文章