GitHub начал автоматически проверять Python-проекты на уязвимости

Разработчики GitHub сообщили, что Python пополнил список ЯП, для которых осуществляется автоматическая проверка уязвимостей и багов. Теперь пользователи могут пользоваться графом зависимостей и получать уведомления безопасности от репозиториев, которые зависят от подверженных уязвимостям пакетов.

Как подключить?

Прежде, чем включать уведомления безопасности, представители GitHub рекомендуют проверить наличие файлов requirements.txt и Pipfile.lock в корневой папке проекта.

Сканер по умолчанию обследует все публичные репозитории. Для работы в приватных проектах необходимо включить функцию уведомлений в настройках репозитория или дать доступ к графу зависимостей во вкладке «Insights».

По словам авторов проекта, программа уже закрыла несколько свежих уязвимостей. В ближайшие недели разработчики планируют добавить в базу данных все известные ошибки Python. В дальнейшем все найденные баги из базы уязвимостей NVD и других источников будут попадать в списки GitHub, а пользователи будут оперативно проинформированы о проблемах в пакетах.

В 2017 году аналогичная функция была внедрена во все публичные репозитории на JavaScript и Ruby. Сканер уязвимостей обнаружил более 4 миллиона проблем, связанных с использованием устаревших зависимостей в 500 тысячах проектов.