介紹 GitHub 上的安全警報
上個月,我們用依賴關係圖讓你更容易跟蹤你代碼依賴的的項目,它目前支持 Javascript 和 Ruby。如今,超過 75% 的 GitHub 項目有依賴,我們正在幫助你做更多的事情,而不只是關注那些重要的項目。在啟用依賴關係圖後,當我們檢測到你的依賴中有漏洞時會通知你,並給出來自 Github 社區中的已知修復。
如何開始使用安全警報
無論你的項目時私有還是公有的,安全警報都會為團隊中的正確人員提供重要的漏洞信息。
啟用你的依賴圖:
公開倉庫將自動啟用依賴關係圖和安全警報。對於私人倉庫,你需要在倉庫設置中添加安全警報,或者在 「Insights」 選項卡中允許訪問倉庫的 「依賴關係圖」 部分。
設置通知選項:
啟用依賴關係圖後,管理員將默認收到安全警報。管理員還可以在依賴關係圖設置中將團隊或個人添加為安全警報的收件人。
警報響應:
當我們通知你潛在的漏洞時,我們將突出顯示我們建議更新的任何依賴關係。如果存在已知的安全版本,我們將通過機器學習和公開數據選擇一個,並將其包含在我們的建議中。
漏洞覆蓋率
有 CVE ID(國家漏洞資料庫公開披露的漏洞)的漏洞將包含在安全警報中。但是,並非所有漏洞都有 CVE ID,甚至許多公開披露的漏洞也沒有。隨著安全數據的增長,我們將繼續更好地識別漏洞。如需更多幫助來管理安全問題,請查看我們的 GitHub Marketplace 中的安全合作夥伴。
這是使用世界上最大的開源數據集的下一步,可以幫助你保持代碼安全並做到最好。依賴關係圖和安全警報目前支持 JavaScript 和 Ruby,並將在 2018 年提供 Python 支持。
via: https://github.com/blog/2470-introducing-security-alerts-on-github
本文轉載來自 Linux 中國: https://github.com/Linux-CN/archive