GitHub 将警告开发者流行软件库的漏洞

今天的软件项目通常有大量的依赖库，而上游库的漏洞将会影响到下游软件。现在最大的开源软件开发平台 GitHub 宣布了安全警告服务，将搜索依赖寻找已知漏洞然后通过开发者，以便帮助开发者尽可能快的打上补丁修复漏洞。GitHub 将会识别所有使用受影响依赖的公开项目，使用私有库的项目则需要选择加入才能使用安全警告服务。

   当你启用你的依赖关系图后，检测到您的某个依赖关系中的漏洞，GitHub 会提醒你修复已知的程序漏洞。

   如何使用安全警报

   无论您的项目是私有还是公共，安全警报都会为团队中的人员提供重要的漏洞信息。

   启用您的依赖关系图

   公共存储库将自动启用依赖关系图和安全警报。对于私人存储库，您需要在存储库设置中选择安全警报，或者允许访问存储库“Insights”选项卡的“依赖关系”图表部分。

   设置通知首选项

   启用依赖关系图后，管理员将默认收到安全警报。管理员还可以在依赖关系图中，设置将团队或个人添加为安全警报的收件人。

   回应警报

   当 GitHub 检测出您潜在的漏洞时，GitHub 将显示建议更新的依赖关系。如果存在已知的安全版本，我们将选择一个使用机器学习和公开可用的数据，并将其包含在我们的建议中。

   漏洞覆盖

   具有 CVE ID 的漏洞（来自国家漏洞数据库的公开披露的漏洞）将包含在安全警报中。但是，并非所有漏洞都具有 CVE ID，甚至许多公开披露的漏洞也没有。随着安全数据的增长，我们将继续更好地识别漏洞。

   这是使用世界上最大的开源数据收集的下一步，可以尽量帮助您保持代码安全。依赖关系图和安全警报目前支持 JavaScript 和 Ruby，并在 2018 年提供 Python 支持。