GitHub Advisory Database 现已支持 Rust
GitHub 近日宣布,为了给所有开发者和组织创造一个更安全的供应链,以及赋予所有开发者社区一个全面的漏洞数据库。现在 GitHub Advisory Database 已经正式支持 Rust 了,其中会包含有关 Rust 生态系统的安全咨询。
Rust 的加入使 Advisory Database 的覆盖范围扩大到八个支持的编程语言生态系统:Composer (PHP)、Go、Maven、npm、NuGet、pip、RubyGems 和 Rust。
Advisory Database 是一个开放的安全咨询数据库,专注于为开发者提供高质量、可操作的漏洞信息。它以 Creative Commons Attribution 4.0 授权,因此数据可以在任何地方使用。
Advisory Database 包含已映射到 GitHub 依赖关系图跟踪的软件包的安全漏洞列表。GitHub 会从以下来源向 Advisory Database 添加漏洞:
每个安全通报都包含有关漏洞的信息,包括描述、严重性、受影响的程序包、程序包生态系统、受影响的版本和修补的版本、影响以及可选信息,例如参考、解决方法和信用。此外,国家漏洞数据库列表中的公告包含 CVE 记录链接,通过链接可以查看漏洞、其 CVSS 得分及其质化严重等级的更多详细信息。
对 Rust 的支持确保了 Rust 社区的任何成员都可以在他们代码所在的同一个地方检查安全问题。这仅仅是对 Rust 支持的第一步,GitHub 还在努力实现对 Rust 依赖关系图和 Dependabot 警报的支持。
为了实现在 Advisory Database 中支持 Rust,GitHub 得到了 RustSec 和 Rust 社区的大量支持。其中 RustSec 是一个独立的组织,负责收集、规范和发布与 Rust 库相关的安全建议。RustSec 的免费公共数据库是 GitHub 的 Rust 漏洞数据集的起点。
GitHub 后续将计划与 RustSec 和更广泛的 Rust 社区展开合作,进一步补充他们的数据,使 GitHub Advisory Database 中的数据具有更高可用性并易于开发者使用,通过合作,GitHub 可以在减少漏洞和提升安全性上做更多的工作。
到目前为止,GitHub 已经发布了 318 个 Rust 安全问题,随着他们从社区收集更多的数据,这个数字还会持续增长。你可以在 GitHub Advisory Database 的左侧菜单中选择 Rust 分类来查看相关问题。
