Noll
Devlopers kan visa säkerhetsvarningar i arkivet är beroende diagram, som kan nås från ‘Insikter’.
Bild: GitHub
Plattform för utveckling av GitHub har lanserat en ny tjänst som söker projekt beroenden i JavaScript och Ruby för kända sårbarheter och sedan varnar projektägare om den hittar något.
Den nya tjänsten är att hjälpa utvecklare att uppdatera projekt beroenden så snart som GitHub blir medveten om ett nyligen meddelat sårbarhet.
GitHub kommer att identifiera alla allmänna förråd att använda den drabbade version av beroendet. Projekt under eget förråd kommer att behöva välja till sårbarhet upptäckt tjänsten.
Varningar bör ha en stor inverkan på säkerheten, med tanke på att GitHub nu är värd nästan 70 miljoner förråden med projekt som förlitar sig på beroende programvara paket eller bibliotek programvara som ofta uppdateras inte när nya brister avslöjas.
Varningar ingå som en del av GitHub så kallade “beroendegraf’, som hjälper utvecklare att övervaka projekt att deras kod beror på, och listar ett projekts olika Ruby och JavaScript beroenden.
Utvecklare kan visa säkerhetsvarningar i arkivet är beroende diagram, som kan nås från ‘Insikter’.
Varningar skickas endast till projektägare och andra med admin tillgång till arkiv. Företaget lovar att aldrig offentliggöra sårbarheter för ett visst arkiv. Användare kan välja att få aviseringar via e-post, web anmälningar eller GitHub-gränssnitt.
GitHub är också med hjälp av maskininlärning att föreslå korrigeringar från GitHub-gemenskapen.
De varningar som baseras på allmänna sårbarheter i Ruby pärlor och NPM, pakethanteraren för att Node.js på MITRE är Common Vulnerabilities and Exposures (CVE) Lista. GitHub kommer att lägga till Python för att dess sårbarhet alert service 2018.
Python, Ruby och JavaScript är bland de topp fem språk på GitHub, tillsammans med Java och PHP.
Det verkar varningar kommer att vara begränsat till brister med CVE-Id från början. Men, som GitHub noter många offentliggöras brister inte har CVE-Id. Det tyder på framtida förbättringar som kommer att hjälpa det att identifiera fler sårbarheter som den samlar in mer data om dem.
Tidigare och relaterade täckning
GitHub syftar till att göra kodning mer automatiserad
Utnyttja 10 år av data, GitHub är att införa automatiserade funktioner det säger är “bara början på en långsiktig färdplan.”
GitHub syftar till att främja innovation med Kubernetes migration
GitHub-laget lärt sig att distribuera Kubernetes kluster i en fysisk miljö är inte lätt, vissa hamnade kör en Kubernetes kluster hemma.
GitHub: Öppen källkod domineras av män som bara inte kan kommunicera
Ett slumpmässigt urval av användare för GitHub är Open Source-Undersökningen visar att en befolkning som är 95 procent män.
Relaterade Ämnen:
Affärssystem
Säkerhet-TV
Hantering Av Data
CXO
Datacenter
0