GitHub は、既知の脆弱性を自動スキャンできるプログラミング言語のリストに Python を追加しました。
3月に、ソーシャル コード ホストは、昨年発表した依存関係グラフ サービスに Ruby および Javascript ライブラリを追加しました。
GitHubは「あなたのコードはゴミだ」と言います。私たちがあなたを救うためにここにいます。
続きを読む
当時、GitHubは、これら2つの言語だけで「50万のリポジトリに400万以上の脆弱性」が見つかったと主張し、リポジトリの所有者に警告した結果、検出後1週間以内に30パーセントの修正率が得られたと述べた。
今や、Python開発者も欠陥のあるコードを修正する言い訳ができない状況に陥っています。GitHubの品質エンジニアであるRobert Schultheis氏は、この投稿で「最近発見されたいくつかの脆弱性」が現在のバージョンのスキャナーでカバーされていると説明しています。
公開されている脆弱性のうち、どれがGitHubの対応を促したのかを特定するのは困難です。PythonはMitre CVE(共通脆弱性識別子)データベースでわずかなトラフィックしか生成していません。今年に入ってから4件のエントリがあり、そのうち1件は異議を唱えられています。
「今後数週間かけて、過去のPythonの脆弱性をさらにデータベースに追加していく予定です」と彼は記している。「今後もNVDフィードやその他の情報源を監視し続け、Pythonパッケージで新たに公開された脆弱性があればアラートを送信していきます。」
Python スキャナーは、パブリック リポジトリではデフォルトで有効になっています。
プライベートリポジトリの所有者は、セキュリティアラートを有効にするか(セキュリティ設定)、依存関係グラフにリポジトリへのアクセス権を付与する必要があります(「インサイト」タブ)。®
