В GitHub появились предупреждения безопасности

Интересно, что около 75% проектов на GitHub содержат зависимости. Однако если в какой-то из них обнаружится ошибка безопасности, пользователь может узнать об этом слишком поздно. Чтобы решить эту проблему, были введены предупреждения безопасности — уведомления, которые сообщают о наличии уязвимости в используемых проектах.

Помимо этого, данный инструмент предлагает разработчикам воспользоваться уже известными решениями от сообщества. Пока что фича реализована для Ruby и JavaScript, в 2018 году планируется добавить поддержку Python.

Использование инструмента

Важно, что вне зависимости от доступности проекта информация об уязвимостях может быть открыта всем членам команды. Чтобы начать использование новой функции, достаточно выполнить три простых шага.

Включить граф зависимостей

По умолчанию информация об уязвимостях включена для всех общедоступных проектов. Приватные репозитории требуют ручной активации инструмента.

Установить настройки уведомлений

Теперь, когда граф активирован, администраторы по умолчанию становятся подписаннымы на эти сообщения. У них есть возможность добавить отдельных пользователей или даже команд в список тех, кто будет получать предупреждения.

Предпринять действие

После получения уведомления автоматизированная система предложит пользователю обновить версию зависимости на безопасную, при условии наличия таковой.

Полную информацию о предупреждениях безопасности можно получить на сайте GitHub.

Источник: блог GitHub