GitHub的供应链安全特性包括咨询数据库、Dependabot警报和依赖关系图现在可以用于Rust Cargo文件。
为了帮助Rust开发人员发现和防止安全漏洞,GitHub已经为快速增长的Rust语言提供了供应链安全特性套件。
这些特性包括GitHub Advisory Database,它已经有超过400个Rust安全建议,以及Dependabot警报和更新,以及依赖图支持,在Rust的Cargo包文件中提供脆弱依赖的警报。Rust用户可以在使用GitHub时报告并最终防止安全漏洞。
GitHub咨询数据库是一个安全咨询数据库,重点是针对开发人员的可操作漏洞信息。该数据库中引用的大多数漏洞来自RustSec,这是一个发布与Rust库相关的安全建议的组织。Rust包的维护者可以使用安全建议与漏洞报告者合作,在公开发布之前私下讨论并修复漏洞。开发人员可以通过社区贡献用CVE报告Rust漏洞。
GitHub的依赖关系图分析仓库的Cargo.toml和货物。锁定文件以确定项目中的依赖项。依赖关系图支持Dependabot,它提醒开发人员存在已知的漏洞,并创建拉请求来更新受影响的依赖关系。虽然依赖关系图在公共存储库中默认启用,但开发人员必须为私有存储库启用它。
GitHub表示,如果公共存储库的依赖关系图还没有被填充,那么很快就会被填充。对Rust的依赖图支持分为两个阶段。Rust依赖的完整包元数据,包括映射包到GitHub存储库,将在未来的版本中发布。
开发人员可以通过依赖审查GitHub Action来防止Rust漏洞的引入,该操作会扫描Rust依赖中更改的pull请求,并识别是否有任何已知漏洞的新请求。然后,开发人员可以阻止它们合并到代码中。GitHub提供了在GitHub文档中保护Rust库的指导。
更多资讯内容请查看该链接:www.infoworld.com/article/366…
