Home | | | Short News | | | Long News | | | Long Reads | | | Support | | | Library |
Создатели приложений будут получать предупреждения об уязвимостях, также как авторы проектов на Ruby и JavaScript.
Разработчики GitHub сообщили, что теперь система защиты сможет сообщать об угрозах в Python-библиотеках. Ранее уведомления на портале работали только для приложений на языках Ruby и JavaScript.
Сервис для хостинга IT-проектов запустил службу предупреждений в октябре 2017 года. Граф зависимостей портала отображает библиотеки, которые использует тот или иной проект, и сверяет их с базой уязвимостей CVE. GitHub работает с менеджером пакетов NPM для JavaScript и RubyGems для Ruby.
Когда портал получает уведомление о недавно объявленной уязвимости, разработчикам затронутых приложений автоматически отправляются оповещения. За первый месяц проверок было выявлено более 4 млн угроз в 500 тыс. репозиториев, а уже к 1 декабря удалось устранить 450 тыс. дыр.
Чтобы начать пользоваться этой системой, необходимо внести файл requirements.txt (или Pipfile.lock) в хранилище приложения. Граф зависимостей для общедоступных репозиториев подключается автоматически, а владельцам частных хранилищ необходимо настраивать менеджер пакетов вручную.
В параметрах уведомлений пользователь выбирает их тип и частоту. Помимо этого, можно настроить оповещения системы безопасности для определенного числа сотрудников или групп, работающих с принадлежащими разработчику хранилищами.
Портал отправляет предупреждения по электронной почте, через веб-уведомления или в пользовательском интерфейсе GitHub. Еженедельное оповещение с кратким описанием возможных проблем в системе безопасности максимум для 10 репозиториев пользователя.
Предупреждения отображают оценку уязвимости по десятибалльной шкале CVSS, а также дают ссылку на небезопасный файл в проекте. Сообщение содержит веб-адрес описания угрозы на ресурсе CVE и рекомендации по решению проблемы.
Библиотеки репозитория часто становятся мишенью для злоумышленников. Весной в хранилище NPM обнаружили бэкдор, который позволял внедрять код на скомпрометированном сервере. Другие пользователи успели скачать зараженный пакет 64 тысячи раз.
19:45 |
||
17:45 |
||
14:45 |
||
12:45 |
||
11:45 |
||
09:45 |
||
09:45 |
||
19:45 |
||
18:45 |
||
16:45 |
||
15:45 |
||
14:45 |
||
13:45 |
||
10:45 |
||
10:45 |
||
09:45 |
||
19:45 |
||
19:45 |
Home | | | Short News | | | Long News | | | Long Reads | | | Support | | | Library | | | Blogs | | | Links |