Python码农福音，GitHub增加Python语言安全漏洞告警

Posted 2020-12-04 reboot51

在 2017 年 GitHub 开始对托管在其网站的代码仓库和依赖库开始提供安全漏洞检查和告警，开始时候只支持 Ruby 和 JavaScript 语言的项目。根据 GitHub 官方数据显示截止目前 Gitub 已经对50万仓库的400多万个安全漏洞发出了漏洞安全告警。GitHub 统计还显示，基本上这些告警都得到开发者的积极回应，大概一半告警都在一周内收到响应，三分之一的漏洞在一周内得到解决。 

告诉大家一个好消息，github 已经把 Python 加入了安全检查项目，算是 GitHub 对开源项目所做安全另一个大的里程碑。本周内，Python 项目可以查看其类库依赖关系图，并会对其一类的类库进行安全检查，如果发现已知安全漏洞的软件包，就会发出安全告警。

?GitHub 表示接下来会从 NVD 及其公共 vulnerability 源增加更多的 Python vulnerability 数据库洞，并对新出漏洞发出相关 Python 类库中新披露的安全漏洞的告警。

Python安全告警功能启用

由于类库安全检查基于项目的依赖配置文件，所以必须确保你的 Python 代码库中的具有requirements.txt 或 Pipfile.lock 文件，并且得到正确的配置。

查看一个类库依赖的方法是：通过 GitHub 界面的 "Insights"-"Dependency graph "

?

对公共存储GitHub将会自动启用依赖关系图和安全告警。并对安全漏洞发出告警，如下图：

?

私有仓库安全告警设置

对于私有存储库，需要自己选择存储库设置中的安全告警，设置允许访问存储库的"Insights"选项卡的"Dependency graph"。

启用漏洞告警后，管理员将默认接收安全漏洞告警。管理员还可以通过进入其存储库的设置页面并导航到"告警"选项卡，将团队或个人添加为安全告警的接收者。

要配置收到的通知的种类或频率，可以访问配置文件的通知设置页面（上述步骤），然后选中有关选项。

安全告警设置步骤

1、点击右上角的个人头像-下拉菜单选择"Setting"。

2、页面左方的功能菜单中选择"Notifications"。

3、在设置通知页面的"Vulnerability alerts"选项卡中，选中有关项目，如下图所示：

?

设置Github访问依赖图

1、 点击仓库上面功能菜单中的设置标签页"Setting"。

2、 在弹出设置页面中 "Data services" 选项卡中，选中允许 Github 读取并分析仓库的选项。

?基本功能就是如此，这对广大 Python 码农来说是个福音了，GitHub 帮你关注安全问题，并及时处理。希望 GitHub 再接再厉，对更多语言提供支持，比如 Java，Golang 等语言。

转载|原文链接：http://t.cn/RgteOo0

?51Reboot 最新课程公告

第 19 期Python实战班正在火热招生中

第 8 期自动化运维班正在招生中

详情扫码咨询

免费视频 戳戳戳!????