共计 792 个字符,预计需要花费 2 分钟才能阅读完成。
供应链攻打的风行指标始终都是风行编程语言的很多包管理系统,如 NPM (JavaScript)、Rubygems (Ruby) 以及 PyPI (Python)。这些零碎长年来蒙受歹意攻打,攻击者上传歹意包并期待受害者装置。
在往年的 SolarWinds 攻打事件和新型“依赖混同“攻打事件后,供应链攻打成为了探讨焦点:攻陷供应链中不太平安的元素,导致更平安的指标遭攻陷。
GitHub 昨日发表其供应链性能套件现已可用于 Go 编程语言。 这包含 GitHub 平安数据库,以及其中蕴含的 150 多个 Go 倡议、Dependabot 警报和更新,以及为易受攻击的依赖项提供警报信息的依赖关系图。
Go 当初是开源托管站点上最风行的 15 种语言之一,这些我的项目有助于 Go 社区在应用 GitHub 时发现、报告并最终避免其 Go 代码中的安全漏洞。
GitHub 是数以百万计的开源软件我的项目和开发人员的家园,也正是因为其宏大的规模,公司能够采取任何口头来改善开发人员的应用体验或爱护软件免受攻打,因为这些行为都会产生微小的影响。
因而,GitHub 的布告也是在宣告全世界能够更平安地劳动:当在 Go 模块中发现新破绽时,Dependabot 会主动告诉开发人员,而后通过提出拉取申请降级我的项目中的模块来为您修补破绽。
通过依赖关系图,您甚至能够晓得您的依赖项是否有新发现的破绽。借助 GitHub 的平安布告性能,您能够私下探讨和合作解决您本人的应用程序中的破绽,过程无需公开,也无需来到 GitHub。
谷歌 Go 语言产品负责人 Steve Francia 于昨日说:“Go 的创立有一部分是为了解决治理大型软件中依赖关系的问题。GitHub 是开源 Go 模块中最受欢迎的主机。明天发表的性能不仅会帮忙 GitHub 用户,还会帮忙到任何依赖 GitHub 托管模块的人。咱们很快乐 GitHub 当初的投资有益于整个 Go 生态系统的改良,咱们期待将来与他们进行更多单干。”
