Крупнейшая площадка для размещения репозиториев в сети, GitHub, представила новую защитную функцию для своих пользователей. В теории новый механизм призван сократить количество уязвимых проектов и их дальнейшее распространение на платформе.

Новая функция не получила какого-то особенного названия и является частью Dependency Graph. Напомню, что секцию Dependency Graph можно найти во вкладке Insights. Там, в формате древовидной структуры, отображается список всех использованных связанных пакетов (библиотек), основывающийся на манифесте каждого, отдельно взятого проекта.

В настоящее время Dependency Graph поддерживает файлы .json (для JavaScript  проектов) и gemfiles (для проектов на Ruby). В будущем году также обещают добавить поддержку Python.

Новая функция, добавленная в Dependency Graph, будет информировать разработчиков, если использованные в их проекте зависимые пакеты подвержены каким-либо публично известным уязвимостям. Кроме того, пользователи смогут настроить уведомления о новых уязвимых библиотеках, добавленных в проект, а также об обновлениях базы уязвимостей GitHub, их можно будет получать по почте или формате веб-уведомлений. При этом представители GitHub обещают «отлавливать» не только баги, имеющие собственные CVE идентификаторы, но и различные известные проблемы, которым CVE никогда не присваивали.

Помимо уведомления о самой уязвимости, разработчикам предложат краткую справку о проблеме (тип и опасность уязвимости) и ссылку на развернутое описание бага. Если для уязвимости существует патч, Dependency Graph также уведомит разработчика о способах устранения проблемы.



4 комментария

  1. john_

    21.11.2017 at 06:58

    Гитхаб делает большие дела

    • Estor

      29.11.2017 at 15:03

      да, и сейчас подобных специалистов все больше становится с каждым годом. И их уровень можно уверенно сравнивать с заграничными компаниями.

  2. rapedbyflash

    21.11.2017 at 09:45

    Ага, песочница с надписями на формочках: «из этой формочки получится хлипкий куличик».

  3. Estor

    21.11.2017 at 11:03

    Хорошо, когда есть такие системы, потому что прорабатывать моменты безопасности и находить изъяны нужно неустанно. Тем более, если мы говорим о крупном бизнесе, большой азе данных и ценной информации. Можно, как вариант, устанавливать такие системы управления информационных рисков: https://www.infowatch.ru/solutions/risk_management но, конечно, специалисты в этой области лучше разбираются и четче понимают, как и какие системы настроить.

Оставить мнение