forum.opennet.ru - "GitHub добавил средства информирования об уязвимостях в репо..." (6)

"GitHub добавил средства информирования об уязвимостях в репо..."

Форум Разговоры, обсуждение новостей
Вариант для распечатки		Пред. тема \| След. тема
Изначальное сообщение		[ Отслеживать ]

"GitHub добавил средства информирования об уязвимостях в репо..."	+/–
Сообщение от opennews (??) on 17-Ноя-17, 13:16
GitHub реализовал (https://github.com/blog/2470-introducing-security-alerts-on-...) отображение меток, информирующих об использовании проектами зависимостей с неисправленными уязвимостями. Вместе с меткой также выводятся сведения о путях устранения проблемы и версиях, в которых уязвимость уже устранена. В настоящее время выставление меток добавлено только для проектов на языках Javascript и Ruby, которые составляют 75% от кода с зависимостями, размещённого на GitHub. В 2018 году ожидается вывод аналогичных меток для проектов на языке Python. Вывод уведомлений об уязвимостях и построение графа зависимостей по умолчанию включено для всех публично доступных проектов. Дополнительно можно отметить публикацию отчёта (https://snyk.io/stateofossecurity/) о состоянии безопасности открытого кода, составленном с учётом существенного увеличения числа библиотек в репозиториях. Например, за год число пакетов в NPM увеличилось на 57%, в PyPi на 32%, а в RubyGems на 10.3%. Соответственно на 53.8% увеличилось число уязвимостей в библиотеках из подобных репозиториев, при том, что число уязвимостей в пакетах из состава RHEL наоборот уменьшилось на 65%. По данным составителей отчёта вызывающие уязвимости ошибки в среднем находятся в коде два с половиной года и в 75% случаях выявляются не мэйнтенерами, а сторонними исследователями. В среднем на исправление проблемы после получения уведомления об уязвимости уходит 16 дней, при том, что 34% мэйнтенеров реагируют на проблему в течение первого дня, а 60% в течение недели. Для 14% проанализированных библиотек выявленные уязвимости так и не были устранены. Только в 16.1% случаев исправления были портированы для прошлых выпусков библиотек. 10% проектов запрашивают для уязвимостей идентификатор CVE, а 25% практикуют умалчивание связи исправленных проблем с уязвимостями. Лишь 11% уязвимостей в Node.js занесены в базу NVD (National Vulnerability Database), для Rubygems этот показатель сооставляет 67%. URL: https://github.com/blog/2470-introducing-security-alerts-on-... Новость: http://www.opennet.me/opennews/art.shtml?num=47586
Ответить \| Правка \| Cообщить модератору

Оглавление

GitHub добавил средства информирования об уязвимостях в репо..., Аноним, 13:16 , 17-Ноя-17, (1) +7

GitHub добавил средства информирования об уязвимостях в репо..., Аноним, 13:38 , 17-Ноя-17, (2) +2

GitHub добавил средства информирования об уязвимостях в репо..., Борщдрайвен бигдата, 13:44 , 17-Ноя-17, (3) +5

GitHub добавил средства информирования об уязвимостях в репо..., бедный буратино, 16:29 , 17-Ноя-17, (11) +5
GitHub добавил средства информирования об уязвимостях в репо..., Аноним, 23:46 , 17-Ноя-17, (12)
GitHub добавил средства информирования об уязвимостях в репо..., qsdg, 05:08 , 18-Ноя-17, (13)

Сообщения по теме [Сортировка по времени | RSS]

1. "GitHub добавил средства информирования об уязвимостях в репо..." +7 +/–

Сообщение от Аноним (??) on 17-Ноя-17, 13:16

npm такая помойка ,что решать его проблемы приходиться на абсолютно посторонних площадках! Вспомнить кпримеру разнообразные проблемы с безопасностью , например leftpad когда полсайтов отвалилась

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

2. "GitHub добавил средства информирования об уязвимостях в репо..." +2 +/–

Сообщение от Аноним (??) on 17-Ноя-17, 13:38

а гемзы это какая помойка? а пупи? а мавен?

Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

3. "GitHub добавил средства информирования об уязвимостях в репо..." +5 +/–

Сообщение от Борщдрайвен бигдата on 17-Ноя-17, 13:44

MVN не помойка, а палеонтологический музей.
Конечно, риск получить упавший костью динозавра по лбу есть, но там поспокойней.

Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

11. "GitHub добавил средства информирования об уязвимостях в репо..." +5 +/–

Сообщение от бедный буратино (ok) on 17-Ноя-17, 16:29

Осталось ещё давать ссылку на то, как заюзать уязвимость, и на каких сайтах её можно встретить - тогда сервис будет полным.

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

12. "GitHub добавил средства информирования об уязвимостях в репо..." +/–

Сообщение от Аноним (??) on 17-Ноя-17, 23:46

а для питона и пыхи как не было, так и нет.

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

13. "GitHub добавил средства информирования об уязвимостях в репо..." +/–

Сообщение от qsdg (ok) on 18-Ноя-17, 05:08

А для жавы почему нет? Всё таки в топ-5 языков давно, причём по всем направлениям (web, desktop, devops, data science).

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру

1. "GitHub добавил средства информирования об уязвимостях в репо..."	+7 +/–
Сообщение от Аноним (??) on 17-Ноя-17, 13:16
npm такая помойка ,что решать его проблемы приходиться на абсолютно посторонних площадках! Вспомнить кпримеру разнообразные проблемы с безопасностью , например leftpad когда полсайтов отвалилась
Ответить \| Правка \| ^ к родителю #0 \| Наверх \| Cообщить модератору


	2. "GitHub добавил средства информирования об уязвимостях в репо..."	+2 +/–
	Сообщение от Аноним (??) on 17-Ноя-17, 13:38
	а гемзы это какая помойка? а пупи? а мавен?
	Ответить \| Правка \| ^ к родителю #1 \| Наверх \| Cообщить модератору


	3. "GitHub добавил средства информирования об уязвимостях в репо..."	+5 +/–
	Сообщение от Борщдрайвен бигдата on 17-Ноя-17, 13:44
	MVN не помойка, а палеонтологический музей. Конечно, риск получить упавший костью динозавра по лбу есть, но там поспокойней.
	Ответить \| Правка \| ^ к родителю #2 \| Наверх \| Cообщить модератору

11. "GitHub добавил средства информирования об уязвимостях в репо..."	+5 +/–
Сообщение от бедный буратино (ok) on 17-Ноя-17, 16:29
Осталось ещё давать ссылку на то, как заюзать уязвимость, и на каких сайтах её можно встретить - тогда сервис будет полным.
Ответить \| Правка \| ^ к родителю #0 \| Наверх \| Cообщить модератору

12. "GitHub добавил средства информирования об уязвимостях в репо..."	+/–
Сообщение от Аноним (??) on 17-Ноя-17, 23:46
а для питона и пыхи как не было, так и нет.
Ответить \| Правка \| ^ к родителю #0 \| Наверх \| Cообщить модератору

13. "GitHub добавил средства информирования об уязвимостях в репо..."	+/–
Сообщение от qsdg (ok) on 18-Ноя-17, 05:08
А для жавы почему нет? Всё таки в топ-5 языков давно, причём по всем направлениям (web, desktop, devops, data science).
Ответить \| Правка \| ^ к родителю #0 \| Наверх \| Cообщить модератору