速来报名!AICon北京站鸿蒙专场~ 了解详情
写点什么

GitHub 推出 Python 安全警告

  • 2018-07-26
  • 本文字数:823 字

    阅读完需:约 3 分钟

GitHub 宣布了 Python 安全警告,使 Python 用户可以访问依赖图,并在他们的库所依赖的包存在安全漏洞时收到警告。

安全警告首次发布是在2017 年10 月,为了跟踪Ruby 和JavaScript 程序包中的安全漏洞。据GitHub 介绍,从那时起,数以百万计的漏洞被发现,推动了许多补丁的发布。

GitHub 会根据 MITRE 的公共漏洞列表(CVE)来跟踪Ruby gems、NPM 和Python 程序包中的公共安全漏洞。CVE 是一个条目列表;每个条目都包含一个标识号、一段描述以及至少一项公共参考。这非常有助于促使管理员快速响应、通过移除易受攻击的依赖或迁移到安全版本来修复漏洞。

当GitHub 收到新发布的漏洞通知,它就会扫描公共库(已经选择加入的私有库也会被扫描)。当发现漏洞时,就会向受影响的库的所有者和有管理员权限的用户发送安全警告。在默认情况下,用户每周都会收到一封邮件,其中包含多达10 个库的安全警告。用户也可以自己选择通过电子邮件、每日摘要电子邮件、Web 通知或GitHub 用户界面来接收安全警告。用户可以在通知设置页面调整通知频率。

在某些情况下,对于发现的每个漏洞,GitHub 会尝试使用机器学习提供修复建议。针对易受攻击的依赖的安全警告包含一个安全级别和一个指向项目受影响文件的链接,如果有的话,它还会提供CVE 记录的链接和修复建议。通用漏洞评分系统(CVSS)定义了四种可能的等级,分别是低、中、高和严重。

据GitHub 介绍,开始的时候,安全警告只会涵盖最新的漏洞,并在接下来的数周内添加更多Python 历史漏洞。此外,GitHub 永远不会公开披露任何库中发现的漏洞。

依赖图列出了项目的所有依赖,用户可以从中看出安全警告影响的项目。要查看依赖图,在项目中点击Insights,然后点击Dependency graph。

要在Python 项目中使用依赖图,需要在requirements.txt 或pipfile.lock 文件中定义项目依赖。GitHub 强烈建议用户在requirements.txt 文件中定义依赖。

要了解更多信息,请查看 GitHub 文档

查看英文原文: GitHub Security Alerts for Python

2018-07-26 08:212444
用户头像

发布了 1008 篇内容, 共 392.6 次阅读, 收获喜欢 344 次。

关注

评论

发布
暂无评论
发现更多内容

web--文件上传

我是一个茶壶

WEB安全 文件上传 11月月更

Matplotlib基础教程之折线图

梦笔生花

Python matplotlib 11月月更

2022-11-02:以下go语言代码输出什么?A:编译错误;B:apple;C:ant;D:panic。 package main import “fmt“ func main() {

福大大架构师每日一题

golang 福大大 选择题

一文搞懂Go读写Excel文件

闫同学

Go 后端 11月月更

JavaScript的垃圾回收机制

肥晨

js 垃圾回收机制 11月月更

【愚公系列】2022年11月 Go教学课程 039-文件操作

愚公搬代码

11月月更

1024共码未来(一览中华风华,API First)

叶秋学长

程序员 API 1024 11月月更

第一篇文章 | 记录我的Java学习之路 | 一切从零开始

祖国滴花骨朵儿

学习笔记 Java学习 零基础 11月月更

从1024开始,我们漫谈编程的本质

闫同学

编程 编译原理 11月月更

跟着卷卷龙一起学Camera--MIPI 02

卷卷龙

ISP camera 11月月更

如何免安装使用 Python?推荐 17 个在线的 Python 解释器!

Python猫

Python

小平台SEO服务崛起:有搜索习惯和需求就有SEO服务

石头IT视角

【Linux】调试器-gdb使用

过眼云烟

学习 记录 11月月更

网络地址转换(NAT)(一)

我叫于豆豆吖.

11月月更

dns-client占用cpu过高的问题解决方案

我是一个茶壶

win10 DNS 11月月更

uniapp简单入门

格斗家不爱在外太空沉思

vue.js uniapp 11月月更

🚀使用“release-it”一气呵成:version、tag、changelog 等

小鑫同学

前端 nodejs 11月月更

计算机网络:组帧

timerring

计算机网络 11月月更

铸剑记:2022国产手机自研技术演义

脑极体

从柯里化讲起,一网打尽 JavaScript 重要的高阶函数

掘金安东尼

前端 11月月更

写给关系数据库开发者的 TDengine 入门指南

TDengine

数据库 tdengine 时序数据库

峰会实录 | StarRocks PMC Chair 赵纯:数据分析的极速统一3.0 时代

StarRocks

数据库

重磅!哈啰 Quark Design 正式开源,下一代跨技术栈前端组件库

Allan sir

前端 前端开发 WebContents 11月月更

python小知识-python序列化

AIWeker

Python 人工智能 python小知识 11月月更

深度测评FL Studio性能,多年Fl Studio使用感受分享

懒得勤快

快速创建软件安装包-ClickOnce

沙漠尽头的狼

微信小程序—制作一个简单的跑步小程序

格斗家不爱在外太空沉思

JavaScript 微信小程序 11月月更

uniapp多端分享(app,小程序,公众号)

格斗家不爱在外太空沉思

vue.js uniapp 11月月更

聊聊香港优才(56/100)

hackstoic

Apache Beam基本架构

穿过生命散发芬芳

11月月更 Apache Beam

互联网安全架构设计原则

阿泽🧸

互联网安全 11月月更

GitHub推出Python安全警告_语言 & 开发_Diogo Carleto_InfoQ精选文章