GitHub正在扩展一个系统,通过添加Python来扫描编码语言中的安全漏洞。该功能于去年首次亮相,支持Ruby和JavaScript。
通过此次更新,GitHub目前正在以75亿美元的价格被微软收购,这个世界上最大的代码库平台可以查看开发人员发布的Python代码,并针对已知的安全漏洞发布通知。
“我们很高兴地宣布,我们已经提供了Python支持。截至本周,Python用户现在可以访问依赖图并在其存储库依赖于具有已知安全漏洞的软件包时接收安全警报,“GitHub今天宣布。
这个新功能将逐步推出,目前只支持几个最近出现的漏洞,不过微软表示,未来几周将增加更多已知的问题。
“今后,我们将继续监控NVD提要和其他来源,并将发送有关Python包中任何新披露的漏洞发出警报,”GitHub宣布。
管理员默认获取安全警报
如果开发人员的存储库依赖于GitHub标记为易受攻击的软件包,则开发人员可以访问依赖关系图以接收安全警报。
“公共存储库将自动启用您的依赖关系图和安全警报。对于私有存储库,您需要选择存储库设置中的安全警报,或允许访问存储库的“Insights”选项卡的依赖关系图部分,“GitHub说。
此外,可以将此功能配置为从每个存储库设置菜单中的“警报”选项卡向团队和个人发出安全警报。
根据官方数据,自去年首次亮相以来,这个漏洞警报系统已经在500,000个Ruby和JavaScript存储库中发现了400万个漏洞,GitHub预计随着更多语言的添加,这个漏洞会增加。
