GitHub Advisory Database 现已支持 Rust

GitHub 近日宣布，为了给所有开发者和组织创造一个更安全的供应链，以及赋予所有开发者社区一个全面的漏洞数据库。现在 GitHub Advisory Database 已经正式支持 Rust 了，其中会包含有关 Rust 生态系统的安全咨询。

Rust 的加入使 Advisory Database 的覆盖范围扩大到八个支持的编程语言生态系统：Composer (PHP)、Go、Maven、npm、NuGet、pip、RubyGems 和 Rust。

Advisory Database 是一个开放的安全咨询数据库，专注于为开发者提供高质量、可操作的漏洞信息。它以 Creative Commons Attribution 4.0 授权，因此数据可以在任何地方使用。

Advisory Database 包含已映射到 GitHub 依赖关系图跟踪的软件包的安全漏洞列表。GitHub 会从以下来源向 Advisory Database 添加漏洞：

• 国家漏洞数据库
• 机器学习和人工审查结合检测 GitHub 上公共提交中的漏洞
• 在 GitHub 上报告的安全公告
• npm 安全通告数据库

每个安全通报都包含有关漏洞的信息，包括描述、严重性、受影响的程序包、程序包生态系统、受影响的版本和修补的版本、影响以及可选信息，例如参考、解决方法和信用。此外，国家漏洞数据库列表中的公告包含 CVE 记录链接，通过链接可以查看漏洞、其 CVSS 得分及其质化严重等级的更多详细信息。

对 Rust 的支持确保了 Rust 社区的任何成员都可以在他们代码所在的同一个地方检查安全问题。这仅仅是对 Rust 支持的第一步，GitHub 还在努力实现对 Rust 依赖关系图和 Dependabot 警报的支持。

为了实现在 Advisory Database 中支持 Rust，GitHub 得到了 RustSec 和 Rust 社区的大量支持。其中 RustSec 是一个独立的组织，负责收集、规范和发布与 Rust 库相关的安全建议。RustSec 的免费公共数据库是 GitHub 的 Rust 漏洞数据集的起点。

GitHub 后续将计划与 RustSec 和更广泛的 Rust 社区展开合作，进一步补充他们的数据，使 GitHub Advisory Database 中的数据具有更高可用性并易于开发者使用，通过合作，GitHub 可以在减少漏洞和提升安全性上做更多的工作。

到目前为止，GitHub 已经发布了 318 个 Rust 安全问题，随着他们从社区收集更多的数据，这个数字还会持续增长。你可以在 GitHub Advisory Database 的左侧菜单中选择 Rust 分类来查看相关问题。