QCon北京「鸿蒙专场」火热来袭!即刻报名,与创新同行~ 了解详情
写点什么

GitHub 推出 Python 安全警告

  • 2018-07-26
  • 本文字数:823 字

    阅读完需:约 3 分钟

GitHub 宣布了 Python 安全警告,使 Python 用户可以访问依赖图,并在他们的库所依赖的包存在安全漏洞时收到警告。

安全警告首次发布是在2017 年10 月,为了跟踪Ruby 和JavaScript 程序包中的安全漏洞。据GitHub 介绍,从那时起,数以百万计的漏洞被发现,推动了许多补丁的发布。

GitHub 会根据 MITRE 的公共漏洞列表(CVE)来跟踪Ruby gems、NPM 和Python 程序包中的公共安全漏洞。CVE 是一个条目列表;每个条目都包含一个标识号、一段描述以及至少一项公共参考。这非常有助于促使管理员快速响应、通过移除易受攻击的依赖或迁移到安全版本来修复漏洞。

当GitHub 收到新发布的漏洞通知,它就会扫描公共库(已经选择加入的私有库也会被扫描)。当发现漏洞时,就会向受影响的库的所有者和有管理员权限的用户发送安全警告。在默认情况下,用户每周都会收到一封邮件,其中包含多达10 个库的安全警告。用户也可以自己选择通过电子邮件、每日摘要电子邮件、Web 通知或GitHub 用户界面来接收安全警告。用户可以在通知设置页面调整通知频率。

在某些情况下,对于发现的每个漏洞,GitHub 会尝试使用机器学习提供修复建议。针对易受攻击的依赖的安全警告包含一个安全级别和一个指向项目受影响文件的链接,如果有的话,它还会提供CVE 记录的链接和修复建议。通用漏洞评分系统(CVSS)定义了四种可能的等级,分别是低、中、高和严重。

据GitHub 介绍,开始的时候,安全警告只会涵盖最新的漏洞,并在接下来的数周内添加更多Python 历史漏洞。此外,GitHub 永远不会公开披露任何库中发现的漏洞。

依赖图列出了项目的所有依赖,用户可以从中看出安全警告影响的项目。要查看依赖图,在项目中点击Insights,然后点击Dependency graph。

要在Python 项目中使用依赖图,需要在requirements.txt 或pipfile.lock 文件中定义项目依赖。GitHub 强烈建议用户在requirements.txt 文件中定义依赖。

要了解更多信息,请查看 GitHub 文档

查看英文原文: GitHub Security Alerts for Python

2018-07-26 08:212578
用户头像

发布了 1008 篇内容, 共 407.1 次阅读, 收获喜欢 345 次。

关注

评论

发布
暂无评论
发现更多内容

爱奇艺基础数据平台演进

爱奇艺技术产品团队

node服务端渲染

编程江湖

node.js 大前端

Java 动态代理之 InvocationHandler 最简单的入门教程

汪子熙

Java 动态代理 28天写作 SAP 12月日更

TDengine在雷达台站运维管理系统中的落地实践

TDengine

数据库 tdengine 时序数据库

java开发SSM框架整合之MyBatis动态SQL

@零度

mybatis ssm JAVA开发

Redis 很强,不懂使用规范就糟蹋了

码哥字节

redis Redis开发规范 签约计划第二季

react源码解析15.scheduler&Lane

buchila11

React React Hooks

深度解读|Spark 中 CodeGen 与向量化技术的研究

Kyligence

异构组网如何解决共享资源冲突?|HDC2021技术分论坛

HarmonyOS开发者

HarmonyOS

华为AppCube入选Forrester《中国低代码平台市场分析报告》

华为云开发者联盟

华为 低代码 AppCube 应用魔方 Forrester

入驻快讯|欢迎字节跳动终端技术团队正式入驻 InfoQ 写作平台!

InfoQ写作社区官方

入驻快讯

大厂算法面试之leetcode精讲22.字典树

全栈潇晨

LeetCode 算法面试

给弟弟的信第4封|你需要尽早知道的理财知识

大菠萝

28天写作

说了半天跨平台,今儿咱就来跨跨!(上)

为自己带盐

Docker dotnet 28天写作 签约计划第二季 12月日更

瞰源 | 当我们谈论开源时,我们在谈论什么?

OpenTEKr

狄安瞰源

react源码解析16.concurrent模式

buchila11

React React Hooks

图数据和知识图谱,数字化转型的新引擎

星环科技

图数据库 知识图谱

让设计如语言一般自然

鲸品堂

设计 通信 运营商

Linux系统学习《Linux一学就会》Linux文件系统结构

侠盗安全

Linux linux运维 运维工程师 云计算架构师

网络协议之:还在用HTTP代理?弱爆了!快试试SOCKS5

程序那些事

网络协议 HTTP 程序那些事 12月日更 SOCKS5

TDS构建数据湖、数据仓库应用介绍

星环科技

全面适配DPDK 20.11,DPVS发布v1.9.0版本

爱奇艺技术产品团队

前端开发框架react 之UmiJS

@零度

大前端 React

quarkus微服务+istio+k8s云原生devops持续集成演示( Tekton(ci/cd) + quarkus + harbor + Nexus)

weir威尔

Kubernetes istio 持续集成 Tekton Quarkus

陈齐彦 Roby:开源也许是中国未来IT行业最重要的统战对象 I OpenTEKr 大话开源 Vol.1

OpenTEKr

大话开源

Java 开发中常见的 10 个错误

编程江湖

JAVA开发 java编程

从源码分析快速实现对新开源软件的检测

华为云开发者联盟

二进制 开源软件 二进制SCA 特征

python入门难?十之八九是因为python 协程吧!

梦想橡皮擦

12月日更

Redis 分布式锁的正确实现原理演化历程与 Redisson 实战总结

码哥字节

redis RedLock redisson 分布式锁 签约计划第二季

Hadoop完全分布式安装部署

编程江湖

大数据 hadoop

云原生时代的"应用级"多云管理

北京好雨科技有限公司

云计算 Kubernetes 容器 多云管理

GitHub推出Python安全警告_语言 & 开发_Diogo Carleto_InfoQ精选文章