博客
关于我
强烈建议你试试无所不能的chatGPT,快点击我
Dependabot:自动创建GitHub PR修复潜在漏洞
阅读量:5865 次
发布时间:2019-06-19

本文共 883 字,大约阅读时间需要 2 分钟。

基于,旨在帮助开发人员跟踪依赖项、监控程序的安全性,并通过自动创建PR来移除任何潜在的漏洞。

Dependabot联合创始人Gray Baker在一篇中透露,Ruby应用程序很容易就会引入100多个依赖项。而这个数字对JavaScript来说则更高,超过了700。而在这700多个依赖项中只有一小部分(不到5%)似乎是直接依赖项(即开发人员有意识要使用的依赖项),这导致了更高的复杂性。

这些依赖项大多具有“传递性”,也就是说它们被其他依赖项所依赖,它们之间没有直接的联系,与使用它们的应用程序之间也没有。

应用程序所引入的传递性依赖项的数量与每种语言使用的包注册表背后的原理之间肯定存在某种关联。事实上,众所周知,NPM是迄今为止最大的存储库,主要是因为它支持创建小型包,提供了很多其他包所依赖的简单功能。几年前,当一个用于填充字符串的小型包从NPM中移除并破坏了2亿多个其他包和应用程序时,这个问题引起了人们的关注。与之相反的是,Python生态系统在这方面看起来要健康得多,其传递性依赖项的数量与直接依赖项的数量相当。

对于数十或数百个依赖项,要让它们保持最新以便引入安全修复就成了一项关键任务。这就是为什么GitHub推出了功能,当系统检测到某个代码库出现Common Vulnerabilities and Exposures (CVE)列表提到中的漏洞时就会通知代码库管理员。这为管理员提供了宝贵的时间,让他们可以迅速做出反应,并通过升级到安全版本来修复漏洞。可惜的是,他们需要识别出哪个版本修复了漏洞,并通过创建PR来管理代码变更。

Dependabot就是为了解决这个问题而生的,它可以在GitHub上自动创建PR并隔离需要更新的依赖项。这样就可以将监控和解决潜在漏洞的过程与持续集成(CI)工作流程集成起来,确保PR不会破坏应用程序。对于没有持续集成管道的项目,Dependabot为给定更新指定了CI通过率。这个数字是基于所有执行相同更新的项目计算出来的,例如,有3%的项目更新未通过CI测试。

Dependabot可以在上获得。

查看英文原文

转载地址:http://frynx.baihongyu.com/

你可能感兴趣的文章
AOP技术分析
查看>>
10、自定义排序
查看>>
SpringBoot使用端口运行
查看>>
[React] How to use a setState Updater Function with a Reducer Pattern
查看>>
如何让gitbook与github仓库关联
查看>>
Spring Boot 不使用默认的 parent,改用自己的项目的 parent
查看>>
Android视图动画集合AndoridViewAnimations
查看>>
C细节学习
查看>>
unity之Mathf类
查看>>
OpenStack-Heat中的AWS::WaitCondition的使用
查看>>
屏幕截屏快捷键操作详解
查看>>
博客开园
查看>>
12306,垃圾中的战斗机!
查看>>
POJ 3862 Asteroids (三维凸包,求两个凸包重心到表面的最短距离)
查看>>
maven加载自己的包
查看>>
poj 3624 Charm Bracelet 01背包问题
查看>>
企业QQ 增加在线交谈链接
查看>>
solr源码分析之solrclound
查看>>
python2.6.6在centos6.4下安装
查看>>
lua weak table 概念解析
查看>>