Dependabot:自動建立GitHub PR修復潛在漏洞
Dependabot基於GitHub Security Advisory API,旨在幫助開發人員跟蹤依賴項、監控程式的安全性,並通過自動建立PR來移除任何潛在的漏洞。
Dependabot聯合創始人Gray Baker在一篇博文中透露,Ruby應用程式很容易就會引入100多個依賴項。而這個數字對JavaScript來說則更高,超過了700。而在這700多個依賴項中只有一小部分(不到5%)似乎是直接依賴項(即開發人員有意識要使用的依賴項),這導致了更高的複雜性。
這些依賴項大多具有“傳遞性”,也就是說它們被其他依賴項所依賴,它們之間沒有直接的聯絡,與使用它們的應用程式之間也沒有。
應用程式所引入的傳遞性依賴項的數量與每種語言使用的包登錄檔背後的原理之間肯定存在某種關聯。事實上,眾所周知,NPM是迄今為止最大的儲存庫,主要是因為它支援建立小型包,提供了很多其他包所依賴的簡單功能。幾年前,當一個用於填充字串的小型包從NPM中移除並破壞了2億多個其他包和應用程式時,這個問題引起了人們的關注。與之相反的是,Python生態系統在這方面看起來要健康得多,其傳遞性依賴項的數量與直接依賴項的數量相當。
對於數十或數百個依賴項,要讓它們保持最新以便引入安全修復就成了一項關鍵任務。這就是為什麼GitHub推出了Security Alerts功能,當系統檢測到某個程式碼庫出現Common Vulnerabilities and Exposures (CVE)列表提到中的漏洞時就會通知程式碼庫管理員。這為管理員提供了寶貴的時間,讓他們可以迅速做出反應,並通過升級到安全版本來修復漏洞。可惜的是,他們需要識別出哪個版本修復了漏洞,並通過建立PR來管理程式碼變更。
Dependabot就是為了解決這個問題而生的,它可以在GitHub上自動建立PR並隔離需要更新的依賴項。這樣就可以將監控和解決潛在漏洞的過程與持續整合(CI)工作流程整合起來,確保PR不會破壞應用程式。對於沒有持續整合管道的專案,Dependabot為給定更新指定了CI通過率。這個數字是基於所有執行相同更新的專案計算出來的,例如,有3%的專案更新未通過CI測試。
Dependabot可以在GitHub Marketplace上獲得。
檢視英文原文:https://www.infoq.com/news/2019/02/github-dependabot-security
相關文章
- Eslint 在phpstrom/Webstrom 中配置自動修復EsLintPHPWeb
- PrestaShop網站漏洞修復如何修復REST網站
- 網站漏洞修復 上傳webshell漏洞修補網站Webshell
- GitHub提交PRGithub
- 怎麼修復網站漏洞騎士cms的漏洞修復方案網站
- win10自動修復無法修復你的電腦 華碩win10自動修復無法開機Win10
- GitHub 自動合併 pr 的機器人——auto-merge-botGithub機器人
- phpStudy poc漏洞復現以及漏洞修復辦法PHP
- win10怎麼跳過自動修復 win10自動修復進不了系統Win10
- struts2架構網站漏洞修復詳情與利用漏洞修復方案架構網站
- 如何修復AppScan漏洞APP
- 電腦開機提示自動修復解決方法 電腦開機提示自動修復怎麼辦?
- vue Eslint 自動修復 in VscodeVueEsLintVSCode
- 電腦顯示自動修復啟動不了怎麼辦 電腦一直自動修復的解決方法
- TomcatAJP檔案包含漏洞及線上修復漏洞Tomcat
- 電腦陷入自動修復死迴圈 win10一直卡在自動修復的解決教程Win10
- 使用Github webhook服務實現提PR自動檢查Flake8並在對應位置發評論GithubWebHook
- Win10系統自動修復無法修復電腦如何解決Win10
- weblogic T3 漏洞修復Web
- thinkcmf 網站最新漏洞修復方法網站
- WordPress 5.1.1 釋出 修復 CSRF 漏洞
- 雲伺服器修復apache漏洞伺服器Apache
- 微信小程式漏洞怎麼修復微信小程式
- 程式碼注入漏洞以及修復方法
- 任意檔案上傳漏洞修復
- Linux常見漏洞修復教程!Linux
- 顯示器自動HDR在Windows 11中不起作用的修復方法Windows
- win10一直卡在自動修復怎麼辦 win10系統卡在自動修復的方法Win10
- win10無法自動修復怎麼開機 win10自動修復無法開機的方法Win10
- 電腦正在準備自動修復 系統一直顯示自動修復進不去的解決方法
- 自動修復電腦未正確啟動怎麼修 電腦開機顯示自動修復電腦未正確啟動的解決方法
- WordPress網站漏洞利用及漏洞修復解決方案網站
- 網站漏洞修復之Metinfo 檔案上傳漏洞網站
- 網站漏洞檢測對漏洞檢測修復方案網站
- 沒有修復不了漏洞,只有修不成的工具人!
- Project Zero:95.8% 的漏洞在截止日期來臨之前得到修復Project
- win10自動修復進不了系統怎麼辦 win10自動修復進不去系統的方法Win10
- GITHUB又出么蛾子?才讓機器人修復漏洞就又給黑客送上模組版權Github機器人黑客