GitHub安全告警檢測出了400多萬個漏洞

據GitHub介紹，去年十月推出的安全告警極大地減少了開發人員消除Ruby和JavaScript項目漏洞的時間。

當檢測到他們的庫中有公共漏洞列表上列出的庫漏洞時，GitHub安全告警就會通知庫管理員。這對他們而言是一個重要的提醒，他們可以快速反應，修復漏洞，消除有漏洞的依賴或者轉到安全版本。

按照GitHub的說法，在所有顯示的警告中，有將近一半的在一周之內得到了響應，前7天的漏洞解決率大約為30%。據GitHub介紹，實際上，情況可能更好，因為當把統計限制在最近有貢獻的庫時，也就是說過去90天中有貢獻的庫，98%的庫在7天之內打上了補丁。總體上，GitHub安全告警已經報告了50多萬個庫中的400多萬個漏洞。

GitHub安全告警會掃描所有的公共庫，查找漏洞，而對於私有庫，只掃描啟用了依賴圖的。對於發現的每個漏洞，庫管理員不僅會收到一般信息，還會包含嚴重性級別和解決步驟。如果不知道特定依賴的安全版本，那麼GitHub會設法推薦一個類似的、安全的依賴，用於替代不安全的庫。

安全通知有幾種發送方式：顯示一條警告，和其他通知一起或者通過電子郵件。除了每次發現漏洞時發送一封電子郵件外，GitHub近日還推出了每周摘要電子郵件，其中最多匯總10個庫的漏洞警告。

如上所述，安全告警目前僅支持使用Ruby或JavaScript編寫的庫，預計2018年會支持Python。

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！