共计 949 个字符,预计需要花费 3 分钟才能阅读完成。
通过 Dart 和 GitHub 团队的共同努力,自 10 月 7 日起,GitHub 的 Advisory Database (平安征询数据库)、Dependency Graph (依赖项关系图) 和 Dependabot (依赖更新机器人) 开始反对 Dart 开发者生态,这也意味着 GitHub 为 Dart 和 Flutter 利用的供应链平安提供了全面反对:
- GitHub 的 Advisory Database (平安征询数据库) 为破绽报告者和我的项目维护者之间提供了一个合作平台,破绽报告者和我的项目维护者能够独特单干,在破绽被公开之前私密探讨并修复破绽。
- Dependency Graph (依赖项关系图) 次要是剖析 Dart / Flutter 我的项目的 pubspec.yaml 和 pubspec.lock 文件来确定我的项目依赖关系。
- Dependabot 是 GitHub 收买并收费凋谢的一个检测依赖项安全性的工具,一旦你依赖的 Dart package 版本发现新破绽时,Dependabot 就能够发出通知并主动创立拉取申请 (Pull Request),将 package 版本升级到没有破绽的版本。查看过往推文: Dependabot 开始反对 pub package 版本检测 理解更多。
Dart 产品经理 Michael Thomsen 示意:通过与 GitHub 团队的单干,Dart 开发者们能够在新的破绽影响到客户之前发现和解决问题;GitHub 的高级产品经理 Courtney Claessens 也提到说,在供应链平安侧全面反对 Dart,不仅是对开源社区、开发者的反对,更可能帮忙数百万应用 Dart 利用的用户们。
公布 package 到 pub.dev 的平安最佳实际
作为 package 开发者或维护者,当你将 package 公布到 pub.dev 的时候,这里有两条最佳实际的倡议:
- 应用 GitHub 的平安布告性能在你的代码仓库中创立新的平安布告,GitHub 会将这个纳入其 Advisory Database (平安征询数据库) 中。
- 为你的 GitHub 代码仓库配置安全策略,具体阐明用户能够用什么样的形式报告平安问题。
上述提到的这些安全策略和性能均已面向所有用户公布 (公有仓库也只须要退出一点的额定配置),快去试试吧,爱护本人的代码平安,迫不及待。
延长浏览
- 在代码仓库中创立新的平安布告
- 对于安全漏洞的协调披露
正文完