信息來(lái)源：cnBeta

GitHub會(huì)根據(jù)MITRE的公共漏洞列表（CVE）來(lái)跟蹤Ruby gems、NPM和Python程序包中的公共安全漏洞。CVE是一個(gè)條目列表；每個(gè)條目都包含一個(gè)標(biāo)識(shí)號(hào)、一段描述以及至少一項(xiàng)公共參考。這非常有助于促使管理員快速響應(yīng)、通過(guò)移除易受攻擊的依賴或遷移到安全版本來(lái)修復(fù)漏洞。

當(dāng)GitHub收到新發(fā)布的漏洞通知，它就會(huì)掃描公共庫(kù)（已經(jīng)選擇加入的私有庫(kù)也會(huì)被掃描）。當(dāng)發(fā)現(xiàn)漏洞時(shí)，就會(huì)向受影響的庫(kù)的所有者和有管理員權(quán)限的用戶發(fā)送安全警告。在默認(rèn)情況下，用戶每周都會(huì)收到一封郵件，其中包含多達(dá)10個(gè)庫(kù)的安全警告。用戶也可以自己選擇通過(guò)電子郵件、每日摘要電子郵件、Web通知或GitHub用戶界面來(lái)接收安全警告。用戶可以在通知設(shè)置頁(yè)面調(diào)整通知頻率。

在某些情況下，對(duì)于發(fā)現(xiàn)的每個(gè)漏洞，GitHub會(huì)嘗試使用機(jī)器學(xué)習(xí)提供修復(fù)建議。針對(duì)易受攻擊的依賴的安全警告包含一個(gè)安全級(jí)別和一個(gè)指向項(xiàng)目受影響文件的鏈接，如果有的話，它還會(huì)提供CVE記錄的鏈接和修復(fù)建議。通用漏洞評(píng)分系統(tǒng)（CVSS）定義了四種可能的等級(jí)，分別是低、中、高和嚴(yán)重。

據(jù)GitHub介紹，開(kāi)始的時(shí)候，安全警告只會(huì)涵蓋最新的漏洞，并在接下來(lái)的數(shù)周內(nèi)添加更多Python歷史漏洞。此外，GitHub永遠(yuǎn)不會(huì)公開(kāi)披露任何庫(kù)中發(fā)現(xiàn)的漏洞。

依賴圖列出了項(xiàng)目的所有依賴，用戶可以從中看出安全警告影響的項(xiàng)目。要查看依賴圖，在項(xiàng)目中點(diǎn)擊Insights，然后點(diǎn)擊Dependency graph。

要在Python項(xiàng)目中使用依賴圖，需要在requirements.txt或pipfile.lock文件中定義項(xiàng)目依賴。GitHub強(qiáng)烈建議用戶在requirements.txt文件中定義依賴。

要了解更多信息，請(qǐng)查看GitHub文檔。