GitHub为Rust语言添加了供应链安全工具
GitHub的供应链安全特性包括咨询数据库、Dependabot警报和依赖关系图现在可以用于Rust Cargo文件。
为了帮助Rust开发人员发现和防止安全漏洞,GitHub已经为快速增长的Rust语言提供了供应链安全特性套件。
这些特性包括GitHub Advisory Database,它已经有超过400个Rust安全建议,以及Dependabot警报和更新,以及依赖图支持,在Rust的Cargo包文件中提供脆弱依赖的警报。Rust用户可以在使用GitHub时报告并最终防止安全漏洞。
GitHub咨询数据库是一个安全咨询数据库,重点是针对开发人员的可操作漏洞信息。该数据库中引用的大多数漏洞来自RustSec,这是一个发布与Rust库相关的安全建议的组织。Rust包的维护者可以使用安全建议与漏洞报告者合作,在公开发布之前私下讨论并修复漏洞。开发人员可以通过社区贡献用CVE报告Rust漏洞。
GitHub的依赖关系图分析仓库的Cargo.toml和货物。锁定文件以确定项目中的依赖项。依赖关系图支持Dependabot,它提醒开发人员存在已知的漏洞,并创建拉请求来更新受影响的依赖关系。虽然依赖关系图在公共存储库中默认启用,但开发人员必须为私有存储库启用它。
GitHub表示,如果公共存储库的依赖关系图还没有被填充,那么很快就会被填充。对Rust的依赖图支持分为两个阶段。Rust依赖的完整包元数据,包括映射包到GitHub存储库,将在未来的版本中发布。
开发人员可以通过依赖审查GitHub Action来防止Rust漏洞的引入,该操作会扫描Rust依赖中更改的pull请求,并识别是否有任何已知漏洞的新请求。然后,开发人员可以阻止它们合并到代码中。GitHub提供了在GitHub文档中保护Rust库的指导。
更多资讯内容请查看该链接:www.infoworld.com/article/366…
本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。 如若内容造成侵权/违法违规/事实不符,请联系我的编程经验分享网邮箱:veading@qq.com进行投诉反馈,一经查实,立即删除!