GitHub安全告警检测出了400多万个漏洞

GitHub安全告警检测出了400多万个漏洞

据GitHub介绍，去年十月推出的安全告警极大地减少了开发人员消除Ruby和JavaScript项目漏洞的时间。

当检测到他们的库中有公共漏洞列表上列出的库漏洞时，GitHub安全告警就会通知库管理员。这对他们而言是一个重要的提醒，他们可以快速反应，修复漏洞，消除有漏洞的依赖或者转到安全版本。

按照GitHub的说法，在所有显示的警告中，有将近一半的在一周之内得到了响应，前7天的漏洞解决率大约为30%。据GitHub介绍，实际上，情况可能更好，因为当把统计限制在最近有贡献的库时，也就是说过去90天中有贡献的库，98%的库在7天之内打上了补丁。总体上，GitHub安全告警已经报告了50多万个库中的400多万个漏洞。

GitHub安全告警会扫描所有的公共库，查找漏洞，而对于私有库，只扫描启用了依赖图的。对于发现的每个漏洞，库管理员不仅会收到一般信息，还会包含严重性级别和解决步骤。如果不知道特定依赖的安全版本，那么GitHub会设法推荐一个类似的、安全的依赖，用于替代不安全的库。

安全通知有几种发送方式：显示一条警告，和其他通知一起或者通过电子邮件。除了每次发现漏洞时发送一封电子邮件外，GitHub近日还推出了每周摘要电子邮件，其中最多汇总10个库的漏洞警告。

如上所述，安全告警目前仅支持使用Ruby或JavaScript编写的库，预计2018年会支持Python。

GitHub 教程系列文章： 

通过GitHub创建个人技术博客图文详解 

GitHub 使用教程图文详解   

使用 GitHub / GitLab 的 Webhooks 进行网站自动化部署 

多个GitHub帐号的SSH key切换

如何在同一台电脑上使用两个GitHub账户

利用GitHub搭建个人Maven仓库 

一分钟认识GitHub

分享实用的GitHub 使用教程  

GitHub使用操作指南 

GitHub使用方法入门基础 

GitHub 的详细介绍：请点这里
GitHub 的下载地址：请点这里

查看英文原文：GitHub Security Alerts Detected Over Four Millions Vulnerabilities

本文永久更新链接地址：https://www.bkjia.com/Linux/2018-03/151622.htm