Крупнейшая площадка для размещения репозиториев в сети, GitHub, представила новую защитную функцию для своих пользователей. В теории новый механизм призван сократить количество уязвимых проектов и их дальнейшее распространение на платформе.
Новая функция не получила какого-то особенного названия и является частью Dependency Graph. Напомню, что секцию Dependency Graph можно найти во вкладке Insights. Там, в формате древовидной структуры, отображается список всех использованных связанных пакетов (библиотек), основывающийся на манифесте каждого, отдельно взятого проекта.
В настоящее время Dependency Graph поддерживает файлы .json (для JavaScript проектов) и gemfiles (для проектов на Ruby). В будущем году также обещают добавить поддержку Python.
Новая функция, добавленная в Dependency Graph, будет информировать разработчиков, если использованные в их проекте зависимые пакеты подвержены каким-либо публично известным уязвимостям. Кроме того, пользователи смогут настроить уведомления о новых уязвимых библиотеках, добавленных в проект, а также об обновлениях базы уязвимостей GitHub, их можно будет получать по почте или формате веб-уведомлений. При этом представители GitHub обещают «отлавливать» не только баги, имеющие собственные CVE идентификаторы, но и различные известные проблемы, которым CVE никогда не присваивали.
Помимо уведомления о самой уязвимости, разработчикам предложат краткую справку о проблеме (тип и опасность уязвимости) и ссылку на развернутое описание бага. Если для уязвимости существует патч, Dependency Graph также уведомит разработчика о способах устранения проблемы.
Читайте также
Последние новости