GitHub предупредит разработчиков об уязвимостях в их проектах

^[1]

Платформа для разработчиков запустила ^[2] функцию под названием Dependency Graph, которая оповещает разработчиков в том случае, если их код содержит известные уязвимости. Система анализирует зависимости и модули, использующиеся в проекте, и выводит информацию о содержащихся в них ошибках безопасности. Инициатива направлена на повышение уровня безопасности проектов с открытым исходным кодом.

В настоящий момент поддерживаются только языки программирования JavaScript и Ruby, однако в скором времени создатели GitHub обещают добавить Python.

Автоматические оповещения будут получать администраторы проектов на GitHub, которые затем могут оповещать отдельные команды или конкретных разработчиков. В тексте оповещения будет содержаться название зависимости с уязвимостью и рекомендации по ее обновлению. Механизм оповещения использует технологии машинного обучения.

Оповещения будут касаться главным образом уязвимостей, которым присвоены идентификаторы CVE, однако по словам представителей GitHub, что в некоторых случаях будет выводиться и данные о публично разглашенных уязвимостях без присвоенного CVE.

Существуют и другие инструменты выявления уязвимостей в коде программных продуктов. Например, бесплатный облачный сканер PT BlackBox Scanner ^[3] позволяет находить ошибки безопасности на веб-сайтах. Кроме того, для поиска уязвимостей эффективны анализаторы защищенности исходного кода приложений — например, продукт PT Application Inspector ^[4] работает со множеством платформ и языков, включая PHP, Java, .NET, HTML и SQL, а также со всеми типами уязвимостей приложений, включая SQLi, XSS и XXE.

Автор: ptsecurity

Источник ^[5]