源代码托管服务GitHub现已开始提示依赖关系中的漏洞
知名源代码托管服务 GitHub 现在已经开始为开发者们提示自己项目的依赖关系中是否存在已知的安全漏洞。
目前因项目中调用其他服务未及时更新引起的安全事件已经发生多次, GitHub 此次改变是为了提高安全性。
当某个服务出现安全漏洞时开发者会收到提示尽快进行更新,这样免去开发者需要及时关注各个依赖的问题。
在提示中 GitHub 会显示哪些版本受到漏洞的影响,同时还会提示如果使用的低于某个版本则需要进行更新。
点击查看详情亦会跳转到项目中然后显示已知问题, 开发者点击菜单即可看到什么组件出现了什么样的漏洞。
然后底部会显示需要更新到哪个版本才可以避免受到漏洞的影响, 对开发者而言这样的提示会减少很多工作。
按GitHub规模来看这项安全举措应该可以明显提高整个互联网的安全性,毕竟很多服务都是依靠开源软件的。
不过目前受支持的语言仅只有 JavaScript 和Ruby 两种,该公司已承诺明年将会增加对Python及其他的支持。