在2017年GitHub開始對託管在其網站的代碼倉庫和依賴庫開始提供安全漏洞檢查和告警,開始時候只支持Ruby和JavaScript語言的項目。根據GitHub官方數據顯示截止目前Gitub已經對50萬倉庫的400多萬個安全漏洞發出了漏洞安全告警。GitHub統計還顯示,基本上這些告警都得到開發者的積極回應,大概一半告警都在一週內收到響應,三分之一的漏洞在一週內得到解決。
今天蟲蟲告訴大家一個好消息,github已經把Python加入了安全檢查項目,算是GitHub對開源項目所做安全另一個大的里程碑。本週內,Python項目可以查看其類庫依賴關係圖,並會對其一類的類庫進行安全檢查,如果發現已知安全漏洞的軟件包,就會發出安全告警。
GitHub表示接下來會從NVD及其公共vulnerability源增加更多的Python vulnerability數據庫洞,並對新出漏洞發出相關Python類庫中新披露的安全漏洞的告警。
Python安全告警功能啟用
由於類庫安全檢查基於項目的依賴配置文件,所以必須確保你的Python代碼庫中的具有requirements.txt或Pipfile.lock文件,並且得到正確的配置。
查看一個類庫依賴的方法是:通過GitHub界面的"Insights"-"Dependency graph "
對公共存儲GitHub將會自動啟用依賴關係圖和安全告警。並對安全漏洞發出告警,如下圖:
私有倉庫安全告警設置
對於私有存儲庫,需要自己選擇存儲庫設置中的安全告警,設置允許訪問存儲庫的"Insights"選項卡的"Dependency graph"。
啟用漏洞告警後,管理員將默認接收安全漏洞告警。管理員還可以通過進入其存儲庫的設置頁面並導航到"告警"選項卡,將團隊或個人添加為安全告警的接收者。
要配置收到的通知的種類或頻率,可以訪問配置文件的通知設置頁面(上述步驟),然後選中有關選項。
安全告警設置步驟
1、點擊右上角的個人頭像-下拉菜單選擇"Setting"。
2、頁面左方的功能菜單中選擇"Notifications"。
3、在設置通知頁面的"Vulnerability alerts"選項卡中,選中有關項目,如下圖所示:
設置Github訪問依賴圖
1、 點擊倉庫上面功能菜單中的設置標籤頁"Setting"。
2、 在彈出設置頁面中"Data services"選項卡中,選中允許Github讀取並分析倉庫的選項。
基本功能就是如此,這對廣大Python碼農來說是個福音了,GitHub幫你關注安全問題,並及時處理。希望GitHub再接再厲,對更多語言提供支持,比如Java,Golang等語言。
閱讀更多 蟲蟲安全 的文章
