安全動(dòng)態(tài)

GitHub發(fā)布Python安全警告 識(shí)別依賴包的安全漏洞

來源:聚銘網(wǎng)絡(luò)    發(fā)布時(shí)間:2018-08-03    瀏覽次數(shù):
 

信息來源:cnBeta

GitHub宣布了Python安全警告,使Python用戶可以訪問依賴圖,并在他們的庫所依賴的包存在安全漏洞時(shí)收到警告。安全警告首次發(fā)布是在2017年10月,為了跟蹤Ruby和JavaScript程序包中的安全漏洞。據(jù)GitHub介紹,從那時(shí)起,數(shù)以百萬計(jì)的漏洞被發(fā)現(xiàn),推動(dòng)了許多補(bǔ)丁的發(fā)布。

GitHub會(huì)根據(jù)MITRE的公共漏洞列表(CVE)來跟蹤Ruby gems、NPM和Python程序包中的公共安全漏洞。CVE是一個(gè)條目列表;每個(gè)條目都包含一個(gè)標(biāo)識(shí)號(hào)、一段描述以及至少一項(xiàng)公共參考。這非常有助于促使管理員快速響應(yīng)、通過移除易受攻擊的依賴或遷移到安全版本來修復(fù)漏洞。

當(dāng)GitHub收到新發(fā)布的漏洞通知,它就會(huì)掃描公共庫(已經(jīng)選擇加入的私有庫也會(huì)被掃描)。當(dāng)發(fā)現(xiàn)漏洞時(shí),就會(huì)向受影響的庫的所有者和有管理員權(quán)限的用戶發(fā)送安全警告。在默認(rèn)情況下,用戶每周都會(huì)收到一封郵件,其中包含多達(dá)10個(gè)庫的安全警告。用戶也可以自己選擇通過電子郵件、每日摘要電子郵件、Web通知或GitHub用戶界面來接收安全警告。用戶可以在通知設(shè)置頁面調(diào)整通知頻率。

在某些情況下,對(duì)于發(fā)現(xiàn)的每個(gè)漏洞,GitHub會(huì)嘗試使用機(jī)器學(xué)習(xí)提供修復(fù)建議。針對(duì)易受攻擊的依賴的安全警告包含一個(gè)安全級(jí)別和一個(gè)指向項(xiàng)目受影響文件的鏈接,如果有的話,它還會(huì)提供CVE記錄的鏈接和修復(fù)建議。通用漏洞評(píng)分系統(tǒng)(CVSS)定義了四種可能的等級(jí),分別是低、中、高和嚴(yán)重。

據(jù)GitHub介紹,開始的時(shí)候,安全警告只會(huì)涵蓋最新的漏洞,并在接下來的數(shù)周內(nèi)添加更多Python歷史漏洞。此外,GitHub永遠(yuǎn)不會(huì)公開披露任何庫中發(fā)現(xiàn)的漏洞。

依賴圖列出了項(xiàng)目的所有依賴,用戶可以從中看出安全警告影響的項(xiàng)目。要查看依賴圖,在項(xiàng)目中點(diǎn)擊Insights,然后點(diǎn)擊Dependency graph。

要在Python項(xiàng)目中使用依賴圖,需要在requirements.txt或pipfile.lock文件中定義項(xiàng)目依賴。GitHub強(qiáng)烈建議用戶在requirements.txt文件中定義依賴。

要了解更多信息,請(qǐng)查看GitHub文檔。

 
 

上一篇:2018年08月01日 聚銘安全速遞

下一篇:2018上半年互聯(lián)網(wǎng)黑產(chǎn)研究報(bào)告