GitHub 推出 Python 安全警告,识别依赖包的安全漏洞
GitHub宣布了Python安全警告,使Python用户可以访问依赖图,并在他们的库所依赖的包存在安全漏洞时收到警告。
安全警告首次发布是在2017年10月,为了跟踪Ruby和JavaScript程序包中的安全漏洞。据GitHub介绍,从那时起,数以百万计的漏洞被发现,推动了许多补丁的发布。
GitHub会根据MITRE的公共漏洞列表(CVE)来跟踪Ruby gems、NPM和Python程序包中的公共安全漏洞。CVE是一个条目列表;每个条目都包含一个标识号、一段描述以及至少一项公共参考。这非常有助于促使管理员快速响应、通过移除易受攻击的依赖或迁移到安全版本来修复漏洞。
当GitHub收到新发布的漏洞通知,它就会扫描公共库(已经选择加入的私有库也会被扫描)。当发现漏洞时,就会向受影响的库的所有者和有管理员权限的用户发送安全警告。在默认情况下,用户每周都会收到一封邮件,其中包含多达10个库的安全警告。用户也可以自己选择通过电子邮件、每日摘要电子邮件、Web通知或GitHub用户界面来接收安全警告。用户可以在通知设置页面调整通知频率。
在某些情况下,对于发现的每个漏洞,GitHub会尝试使用机器学习提供修复建议。针对易受攻击的依赖的安全警告包含一个安全级别和一个指向项目受影响文件的链接,如果有的话,它还会提供CVE记录的链接和修复建议。通用漏洞评分系统(CVSS)定义了四种可能的等级,分别是低、中、高和严重。
据GitHub介绍,开始的时候,安全警告只会涵盖最新的漏洞,并在接下来的数周内添加更多Python历史漏洞。此外,GitHub永远不会公开披露任何库中发现的漏洞。
依赖图列出了项目的所有依赖,用户可以从中看出安全警告影响的项目。要查看依赖图,在项目中点击Insights,然后点击Dependency graph。
要在Python项目中使用依赖图,需要在requirements.txt或pipfile.lock文件中定义项目依赖。GitHub强烈建议用户在requirements.txt文件中定义依赖。
要了解更多信息,请查看GitHub文档。
来源:raincent
低调大师中文资讯倾力打造互联网数据资讯、行业资源、电子商务、移动互联网、网络营销平台。
持续更新报道IT业界、互联网、市场资讯、驱动更新,是最及时权威的产业资讯及硬件资讯报道平台。
转载内容版权归作者及来源网站所有,本站原创内容转载请注明来源。
- 上一篇
IEEE Spectrum 2018 年度编程语言排行榜,Python 卫冕
IEEE Spectrum 发布了 2018 年年度编程语言排行榜。IEEE Spectrum 编程语言排行榜一年发布一次,今年是其发布的第五年。 IEEE Spectrum 对 48种语言进行排行,其排序综合9 个重要线上数据源的 11 个指标而成(今年去掉了 Dice,因为其关闭了 API),例如 Stack Overflow、Twitter、Reddit、IEEE Xplore、GitHub、CareerBuilder 等。我们也有关注 TIOBE等编程语言排行榜单,然而与其它排行榜不同的是,IEEE Spectrum 可以让读者自己选择参数组合时的权重,得到不同的排序结果。考虑到不同 Spectrum 读者的需求,他们提供了几个预设的权重 ——如新兴的语言、雇主需求的语言、开源的热门语言等。 今年的榜单中 Python 卫冕成功,并且与第 2 名的距离拉得更远了一些,如今人工智能、大数据等重数据领域的浪潮未息,预估Python 还会继续火下去。 IEEE Spectrum 2018编程语言 Top 10 如下: 对比一下去年的排行,发现 C++ 势头不小,从第 4 名冲到了第 ...
- 下一篇
TIOBE 8 月编程语言榜:Python 差点拿下第 3 名
TIOBE 发布了 8 月份的编程语言排行榜,前四名依然不变,分别是 Java、C、C++ 与 Python,其中值得关注的是 Python 以 6.992% 的占比逼近7.471% 的 C++,另外 C 指数继续保持增长。 前 20 名如下: 需要注意的是,SQL自 2018 年 2 月起被重新添加到了 TIOBE 排行榜中,由于没有以往的数据可以对比,所以会给人 SQL 语言指数突然暴涨的错觉。 看了一下过去几个月的数据,从 5 月份开始反弹后,6、7 月 Python 的数据在一路高涨,趋势不可挡。 Python 最初是 Perl 的继承者,用于编写构建脚本,并且作为一种胶水语言,它被广泛用于连接各种软件组件。但随着不断应用与发展,Python 逐渐进入了其它领域,比如网络安全与数据科学。如今,在大型嵌入式系统中运行 Python 也变得非常普遍,并且随着人工智能的不断发展,相信它也会保持向前。如果加把劲,在接下来几个月能反超 C++,拿到第三名,那么这将成为 Python 在 TIOBE 上的最高名次,我们拭目以待。 8 月榜单上其它引人关注的地方还有 Groovy、Hack ...
相关文章
文章评论
共有0条评论来说两句吧...