GitHub宣布了Python安全警告，使Python用戶可以訪問依賴圖，并在他們的庫所依賴的包存在安全漏洞時收到警告。

安全警告首次發(fā)布是在2017年10月，為了跟蹤Ruby和JavaScript程序包中的安全漏洞。據(jù)GitHub介紹，從那時起，數(shù)以百萬計的漏洞被發(fā)現(xiàn)，推動了許多補(bǔ)丁的發(fā)布。

GitHub會根據(jù)MITRE的公共漏洞列表(CVE)來跟蹤Ruby gems、NPM和Python程序包中的公共安全漏洞。CVE是一個條目列表;每個條目都包含一個標(biāo)識號、一段描述以及至少一項公共參考。這非常有助于促使管理員快速響應(yīng)、通過移除易受攻擊的依賴或遷移到安全版本來修復(fù)漏洞。

當(dāng)GitHub收到新發(fā)布的漏洞通知，它就會掃描公共庫(已經(jīng)選擇加入的私有庫也會被掃描)。當(dāng)發(fā)現(xiàn)漏洞時，就會向受影響的庫的所有者和有管理員權(quán)限的用戶發(fā)送安全警告。在默認(rèn)情況下，用戶每周都會收到一封郵件，其中包含多達(dá)10個庫的安全警告。用戶也可以自己選擇通過電子郵件、每日摘要電子郵件、Web通知或GitHub用戶界面來接收安全警告。用戶可以在通知設(shè)置頁面調(diào)整通知頻率。

在某些情況下，對于發(fā)現(xiàn)的每個漏洞，GitHub會嘗試使用機(jī)器學(xué)習(xí)提供修復(fù)建議。針對易受攻擊的依賴的安全警告包含一個安全級別和一個指向項目受影響文件的鏈接，如果有的話，它還會提供CVE記錄的鏈接和修復(fù)建議。通用漏洞評分系統(tǒng)(CVSS)定義了四種可能的等級，分別是低、中、高和嚴(yán)重。

據(jù)GitHub介紹，開始的時候，安全警告只會涵蓋最新的漏洞，并在接下來的數(shù)周內(nèi)添加更多Python歷史漏洞。此外，GitHub永遠(yuǎn)不會公開披露任何庫中發(fā)現(xiàn)的漏洞。

依賴圖列出了項目的所有依賴，用戶可以從中看出安全警告影響的項目。要查看依賴圖，在項目中點擊Insights，然后點擊Dependency graph。

要在Python項目中使用依賴圖，需要在requirements.txt或pipfile.lock文件中定義項目依賴。GitHub強(qiáng)烈建議用戶在requirements.txt文件中定義依賴。