GitHub安全警报检测到400多万个漏洞

GitHub表示，去年10月推出的 GitHub安全警报显着减少了开发人员从Ruby和JavaScript项目中移除漏洞所需的时间。

如果在其存储库中检测到[通用漏洞披露]列表中的库漏洞，GitHub的安全警报将通知repo管理员。这使他们能够立即作出反应并通过消除易受攻击的依赖性或转移到安全版本来修复漏洞。

据GitHub统计，近一半的显示警报在一周内得到响应，并且在前7天内解决的漏洞率约为30％。但实际上，当这些统计数据仅限于近期贡献的存储库，即过去90天内的贡献时，GitHub表示，事情看起来更加明亮，98％的这些存储库在不到7天的时间内进行了修补。总的来说，已经有超过500,000个存储库中的400多万个漏洞被报告。

扫描所有公共存储库中的漏洞，而仅启用其依赖关系图的私有存储库是。对于每个发现的漏洞，repo admin不仅提供了关于它的一般信息，还提供了其严重级别和解决步骤。如果不知道给定依赖的安全版本，GitHub将尝试推荐一个类似的安全依赖项来代替不安全的依赖项。

可以通过多种方式传递安全通知：显示提醒，其他通知或通过电子邮件。每次发现漏洞时都会发送一封电子邮件，GitHub最近推出了一个每周摘要电子邮件，其中包含多达10个存储库漏洞警报的摘要。

如前所述，目前仅支持使用Ruby或JavaScript进行repos的安全警报，而计划在2018年支持Python。