В прошлом месяце GitHub запустила функцию «График зависимостей», которая отслеживает зависимости и субзависимости репозитория под вкладкой Insights. На этой неделе компания выкатила расширение функции и теперь будет выявлять известные уязвимости и отправлять уведомления с предлагаемыми исправлениями от сообщества GitHub.
Графики зависимостей и оповещения о безопасности автоматически включены для репозиториев, при условии, что владелец репозитория определил зависимости в одном из поддерживаемых типов файлов,таких как package.json или Gemfile. (Частные владельцы репо должны выбрать дюйма) Предупреждения об уязвимостях не являются общедоступными — они будут показаны только тем, кому был предоставлен доступ к предупреждениям об уязвимости.
GitHub использует данные из Национальной базы данных уязвимостей для оповещения владельцев репозиторий об общедоступных уязвимостях, которые имеют итоговые данные CVE. Обнаружение уязвимости в настоящее время ограничивается проектами JavaScript и Ruby, но поддержка Python является следующей в дорожной карте на 2018 год. PHP, которая является ставка менее широко используется в проектах на GitHub, скорее всего, дальше вниз по списку.
Оригинал: wptavern.com
