您好,欢迎来到12图资源库!分享精神,快乐你我!我们只是素材的搬运工!!
  • 首 页
  • 当前位置:首页 > 开发 > WEB开发 >
    GitHub 推出 Python 安全正告,辨认依赖包的安全破绽
    时间:2018-08-10 12:08 来源:网络整理 作者:网络 浏览:收藏 挑错 推荐 打印

    技术沙龙 | 8月25日与多位资深技术大咖讨论小顺序电商实战

    GitHub宣布了Python安全正告,使Python用户可以拜访依赖图,并在他们的库所依赖的包存在安全破绽时收到正告。

    安全正告初次发布是在2017年10月,为了跟踪Ruby和JavaScript顺序包中的安全破绽。据GitHub引见,从那时起,数以百万计的破绽被发现,推进了许多补丁的发布。

    GitHub会依据MITRE的公共破绽列表(CVE)来跟踪Ruby gems、NPM和Python顺序包中的公共安全破绽。CVE是一个条目列表;每个条目都包含一个标识号、一段描画以及至少一项公共参考。这十分有助于促使管理员快速照应、经过移除易受攻击的依赖或迁移到安全版本来修复破绽。

    当GitHub收到新发布的破绽通知,它就会扫描公共库(曾经选择参加的私有库也会被扫描)。当发现破绽时,就会向受影响的库的一切者和有管理员权限的用户发送安全正告。在默许状况下,用户每周都会收到一封邮件,其中包含多达10个库的安全正告。用户也可以本人选择经过电子邮件、每日摘要电子邮件、Web通知或GitHub用户界面来接纳安全正告。用户可以在通知设置页面调整通知频率。

    在某些状况下,关于发现的每个破绽,GitHub会尝试运用机器学习提供修复建议。针对易受攻击的依赖的安全正告包含一个安全级别和一个指向项目受影响文件的链接,假设有的话,它还会提供CVE记载的链接和修复建议。通用破绽评分系统(CVSS)定义了四种能够的等级,辨别是低、中、高和严重。

    GitHub 推出 Python 安全正告,辨认依赖包的安全破绽

    据GitHub引见,末尾的时分,安全正告只会涵盖最新的破绽,并在接上去的数周内添加更多Python历史破绽。此外,GitHub永远不会地下披露任何库中发现的破绽。

    依赖图列出了项目的一切依赖,用户可以从中看出安全正告影响的项目。要查看依赖图,在项目中点击Insights,然后点击Dependency graph。

    要在Python项目中运用依赖图,需求在requirements.txt或pipfile.lock文件中定义项目依赖。GitHub剧烈建议用户在requirements.txt文件中定义依赖。

    要了解更多信息,请查看GitHub文档。

    【编辑引荐】

    有轻功:用3行代码让Python数据处置脚本取得4倍提速

    外媒速递:顶级物联网平台开发者方案一览

    Python 之父泄漏退位隐情,与中心开发团队产生隔膜

    Python登顶年度编程言语排行榜 榜尾垫底者仅得0分

    为啥Python运转速度这么慢 ?

    (责任编辑:admin)