GitHub начал автоматически проверять Python-проекты на уязвимости
Новости
Сканер уже закрыл несколько свежих уязвимостей Python. В ближайшие недели разработчики планируют добавить в базу данных все известные проблемы.
2К открытий2К показов
Разработчики GitHub сообщили, что Python пополнил список ЯП, для которых осуществляется автоматическая проверка уязвимостей и багов. Теперь пользователи могут пользоваться графом зависимостей и получать уведомления безопасности от репозиториев, которые зависят от подверженных уязвимостям пакетов.
Как подключить?
Прежде, чем включать уведомления безопасности, представители GitHub рекомендуют проверить наличие файлов requirements.txt и Pipfile.lock в корневой папке проекта.
Сканер по умолчанию обследует все публичные репозитории. Для работы в приватных проектах необходимо включить функцию уведомлений в настройках репозитория или дать доступ к графу зависимостей во вкладке «Insights».
По словам авторов проекта, программа уже закрыла несколько свежих уязвимостей. В ближайшие недели разработчики планируют добавить в базу данных все известные ошибки Python. В дальнейшем все найденные баги из базы уязвимостей NVD и других источников будут попадать в списки GitHub, а пользователи будут оперативно проинформированы о проблемах в пакетах.
В 2017 году аналогичная функция была внедрена во все публичные репозитории на JavaScript и Ruby. Сканер уязвимостей обнаружил более 4 миллиона проблем, связанных с использованием устаревших зависимостей в 500 тысячах проектов.
2К открытий2К показов