По мнению администрации ресурса, нововведение позволит снизить число уязвимых проектов, размещенных на платформе.
Web-сервис для хостинга IT-проектов и их совместной разработки GitHub сообщил о запуске новой системы уведомлений, которая будет предупреждать пользователей о наличии уязвимостей в загружаемых ими проектах. Как полагает администрация ресурса, нововведение позволит снизить число уязвимых проектов, размещенных на платформе.
Новый функционал, пока не получивший название, является частью Dependency Graph – раздела во вкладке Insights на странице каждого проекта, размещенного на GitHub. В данной секции отображаются все Ruby и JavaScript зависимости (библиотеки), используемые в проекте. В настоящее время Dependency Graph поддерживает проекты на JavaScript и Ruby, в будущем году планируется добавить поддержку Python.
Нововведение представляет собой систему оповещения, которая выдаст уведомление в случае, если одна из загруженных библиотек содержит известные уязвимости. Согласно информации на сайте GitHub, уведомление будет содержать данные об уровне опасности проблемы и (если это возможно) ссылку на запись об уязвимости в системе CVE и предложенный метод ее устранения. Кроме того, команда GitHub пообещала отправлять сообщения об известных уязвимостях, не получивших идентификатор CVE.
Уведомление будет отправляться на электронный адрес или отображаться в интерфейсе GitHub в зависимости от выбора автора проекта.
GitHub – один из самых популярных сервисов для совместной разработки программного обеспечения и его хостинга в облаке.
Подробнее:
https://www.securitylab.ru/news/489756.php
17.11.2017, 14:40
