众所周知,现在开发软件已经变得不难,因为现在软件项目通常使用大量的依赖库。开发者虽然非常容易开发项目,简单而又方便了,但是一旦上游库有 Bug 将会影响到下游软件。
现在最大的开源软件开发平台 GitHub 宣布了安全警告服务,将搜索依赖寻找已知漏洞然后发送给开发者,以便帮助开发者尽可能快的打上补丁修复漏洞。GitHub 将会识别所有使用受影响依赖的公开项目,使用私有库的项目则需要选择加入才能使用安全警告服务。
最近,GitHub 在 ”Insights” 板块推出了 “依赖图 (Dependency Graph)” 功能,“依赖图” 这个新功能旨在提醒开发人员其项目依赖中出现了缺陷。该功能已为公共库自动启用,不过为私有库设置为可选项。当检测到项目中使用了易受攻击的库时,“依赖图” 中会展示一则 “已知安全漏洞” 警告信息。管理人员也可以配置邮件警告信息、网络提醒以及经由用户界面的警告信息,而且他们可以增加可看到该警告信息的团队和成员名单。
GitHub 通过追踪 CVE 列表中 Ruby gems 和 NPM 包中的缺陷来识别易受攻击的项目。当添加一个新缺陷后,GitHub 会识别出所有使用受影响版本的库并通知其所有者。当 GitHub 检测出您潜在的漏洞时,GitHub 将显示建议更新的依赖关系。如果存在已知的安全版本,我们将选择一个使用机器学习和公开可用的数据,并将其包含在我们的建议中。
目前 GitHub 追踪的漏洞是已分配 CVE 编号的漏洞,不过由于很多公开披露的缺陷并不具有该编号,因此 GitHub 公司将尝试警告这类不具备 CVE 编号的缺陷。GitHub 表示,随着安全数据的增加,公司会在识别漏洞方面做得更好。
这是使用世界上最大的开源数据集合的下一步,可以尽量帮助我们保持代码安全。依赖关系图和安全警报目前仅支持 JavaScript 和 Ruby,将在 2018 年提供 Python 支持。