Разработчики GitHub сообщили, что теперь система защиты сможет сообщать об угрозах в Python-библиотеках. Ранее уведомления на портале работали только для приложений на языках Ruby и JavaScript.

Сервис для хостинга IT-проектов запустил службу предупреждений в октябре 2017 года. Граф зависимостей портала отображает библиотеки, которые использует тот или иной проект, и сверяет их с базой уязвимостей CVE. GitHub работает с менеджером пакетов NPM для JavaScript и RubyGems для Ruby.

Когда портал получает уведомление о недавно объявленной уязвимости, разработчикам затронутых приложений автоматически отправляются оповещения. За первый месяц проверок было выявлено более 4 млн угроз в 500 тыс. репозиториев, а уже к 1 декабря удалось устранить 450 тыс.  дыр.

Чтобы начать пользоваться этой системой, необходимо внести файл requirements.txt (или Pipfile.lock) в хранилище приложения. Граф зависимостей для общедоступных репозиториев подключается автоматически, а владельцам частных хранилищ необходимо настраивать менеджер пакетов вручную.

В параметрах уведомлений пользователь выбирает их тип и частоту. Помимо этого, можно настроить оповещения системы безопасности для определенного числа сотрудников или групп, работающих с принадлежащими разработчику хранилищами.

Портал отправляет предупреждения по электронной почте, через веб-уведомления или в пользовательском интерфейсе GitHub. Еженедельное оповещение с кратким описанием возможных проблем в системе безопасности максимум для 10 репозиториев пользователя.

Предупреждения отображают оценку уязвимости по десятибалльной шкале CVSS, а также дают ссылку на небезопасный файл в проекте. Сообщение содержит веб-адрес описания угрозы на ресурсе CVE и рекомендации по решению проблемы.

Библиотеки репозитория часто становятся мишенью для злоумышленников. Весной в хранилище NPM обнаружили бэкдор, который позволял внедрять код на скомпрометированном сервере. Другие пользователи успели скачать зараженный пакет 64 тысячи раз.

Категории: Главное, Кибероборона, Уязвимости