GitHub安全告警检测出了400多万个漏洞

最新推荐文章于 2024-01-26 10:02:46 发布
最新推荐文章于 2024-01-26 10:02:46 发布
阅读量164 收藏
点赞数
版权声明:本文为博主原创文章,遵循 CC 4.0 BY 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/cpongo4/article/details/89113831
版权
\

看新闻很累?看技术新闻更累?试试下载InfoQ手机客户端,每天上下班路上听新闻,有趣还有料!

\
\\

据GitHub介绍,去年十月推出的安全告警极大地减少了开发人员消除Ruby和JavaScript项目漏洞的时间

\\

当检测到他们的库中有公共漏洞列表上列出的库漏洞时,GitHub安全告警就会通知库管理员。这对他们而言是一个重要的提醒,他们可以快速反应,修复漏洞,消除有漏洞的依赖或者转到安全版本。

\\

按照GitHub的说法,在所有显示的警告中,有将近一半的在一周之内得到了响应,前7天的漏洞解决率大约为30%。据GitHub介绍,实际上,情况可能更好,因为当把统计限制在最近有贡献的库时,也就是说过去90天中有贡献的库,98%的库在7天之内打上了补丁。总体上,GitHub安全告警已经报告了50多万个库中的400多万个漏洞。

\\

GitHub安全告警会扫描所有的公共库,查找漏洞,而对于私有库,只扫描启用了依赖图的。对于发现的每个漏洞,库管理员不仅会收到一般信息,还会包含严重性级别和解决步骤。如果不知道特定依赖的安全版本,那么GitHub会设法推荐一个类似的、安全的依赖,用于替代不安全的库。

\\

安全通知有几种发送方式:显示一条警告,和其他通知一起或者通过电子邮件。除了每次发现漏洞时发送一封电子邮件外,GitHub近日还推出了每周摘要电子邮件,其中最多汇总10个库的漏洞警告。

\\

如上所述,安全告警目前仅支持使用Ruby或JavaScript编写的库,预计2018年会支持Python。

\\

查看英文原文GitHub Security Alerts Detected Over Four Millions Vulnerabilities

糖糖糖糖糖糖糖糖糖糖糖糖糖糖糖糖糖糖
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
云原生安全检测工具(容器安全、trivy、veinmind-tools)
墨痕诉清风的博客
07-31 726
例如上文的 mysql:5.7 镜像,在扫描镜像包含的 openssl 库时,会根据操作系统版本,去 trivy.db 的"Oracle Linux 7"、“openssl”桶中查询相关漏洞信息,并最终生成 CVE-2021-23840 漏洞告警。如果没有,则需要解析基础镜像,并根据其中的操作系统版本文件(etc/alpine-release、usr/lib/os-release、/etc/os-release 等),来确定基础镜像的操作系统版本。‍‍Trivy 的漏洞库,名叫 trivy-db​​。
[网络安全自学篇] 四十八.Cracer第八期——(1)安全术语、Web渗透流程、Windows基础、注册表及黑客常用DOS命令
热门推荐
杨秀璋的专栏
02-21 2万+
这是作者的网络安全自学教程系列,主要是关于安全工具和实践操作的在线笔记,特分享来与博友们学习,希望您们喜欢,一起进步。前文分享了微软证书漏洞(CVE-2020-0601),并详细讲解了Windows验证机制、可执行文件签名复现及HTTPS劫持。本文将分享另一个主题——Cracer教程,第一篇文章将详细讲解安全术语、Web渗透流程和Windows基础、注册表及黑客常用DOS命令。基础性文章,希望对您有所帮助。
GitHub 将为使用有漏洞开源库的开发者提供警告信息
非著名程序员
11-21 2351
【回复“1024”,送你一个特别推送】 众所周知,现在开发软件已经变得不难,因为现在软件项目通常使用大量的依赖库。开发者虽然非常容易开发项目,简单而又方便了,但是一旦上游库有 Bug 将会影响到下游软件。 现在最大的开源软件开发平台 GitHub 宣布了安全警告服务,将搜索依赖寻找已知漏洞然后发送给开发者,以便帮助开发者尽可能快的打上补丁修复漏洞GitHub 将会识别所有使用受影响依赖的
GitHub 对开发者提供的安全漏洞警告功能简介
u010428997的博客
03-29 581
通过Dependency graph 和Alerts 两种视图查看安全漏洞信息,公开库默认开启此功能; Dependency graph 视图详细列举项目中使用的依赖库,并高亮显示存在安全漏洞的依赖,点击右侧向下的三角符号,会列举所有已知的安全漏洞,并给升级更新的建议,如下图所示: Alerts 视图默认按漏洞的报告时间排序,列举所有已知的安全漏洞警告信息;直接点击某条信息,则跳...
从工具到实践:如何在GitHub上保障开源项目安全
分享 GPU 管理与大模型推理相关技术实践
12-27 1025
1998年,Christine Peterson创造了 “开源软件”这个词。她解释道:“这是刻意为之,为了让其他人更容易理解这个领域”。同年,O’Reilly组织了首届“开源峰会”。开源软件受到更多人青睐原因在于,用户对软件拥有更多的控制权因为他们可以检查代码。对于长期项目来说,开源软件被认为是稳定的,因为这些项目遵循开放的标准,即便维护者停止工作,也不会凭空消失。活跃的开发者社区十分重要。比起闭源软件,开源需要更多地考虑安全问题,因为任何人都可以查看并修改代码。贡献者可以发现错误并提交一个PR对代码进行变
【转载】来自 GitHub 的系列渗透测试工具
fangganmin的博客
01-05 3085
51CTO2019-04-03 渗透测试 Kali - GNU / Linux发行版,专为数字取证和渗透测试而设计。(https://www.kali.org/) ArchStrike - 为安全专业人士和爱好者提供Arch GNU / Linux存储库。(https://archstrike.org/) BlackArch - 基于GNU / Linux的分布式渗透测试...
GitLab 严重漏洞可用于接管用户账户
smellycat000的专栏
04-02 1258
聚焦源代码安全,网罗国内外最新资讯!编译:代码卫士GitLab 修复了一个严重漏洞(CVE-2022-1162),它可导致远程攻击者接管使用了硬编码密码的用户账户,同时影响GitLab 社区版 (CE) 和企业版 (EE)。该漏洞是由在GitLab CE版和EE版基于 OmniAuth 注册过程中偶然设置的静态密码造成的,影响的 CE 和 EE 版本是早于14,7,7的...
日常安全运营工作的一些思考
si1ence的博客
10-31 2124
安全运营是一个闭环、螺旋提升的过程;区别于运维保障围绕网络设备正常运行的工作不同,安全运营更为主要是在保障业务正常运行的基础上,提升组织整体安全能力;网络世界里,威胁不断演变,需要可持续的安全运营不断提升对抗能力。借周末二天时间总结一些关于安全运营一些经验与思路,个人觉得安全运营是一个技术复合型要求比较高的工作岗位,对个人素质/技术门槛要求都比较高,在一次一次攻击对抗、溯源的过程中也能获取到新的想法收获、那种充实的成就感也是安全运营带给人为数不多的喜悦;安全能力也需要一步步持续提升,攻防一体、知行合一;
2023最全黑客工具合集(附github地址)
weixin_70257503的博客
03-06 6349
首先,恭喜你发现了宝藏。本文章集成了2023全网优秀的开源攻防武器项目
解决webpack或vite项目无效依赖以及子孙依赖安全漏洞升级与兼容性问题的方法
最新发布
不怕麻烦的鹿丸的博客
01-26 1350
一旦执行升级操作,因为会忽略各依赖间的联系性并统一升级到最新版本,所以可能会现升级失败的情况,此时会询问用户是否确定并加上 --force 强制升级,如果你仍然想升级,直接输入强制升级即可。根据组件库无风险版本,在 package-lock.json 文件中指定间接依赖的大版本或具体版本号,使用npm update 升级指定依赖。安装时忽略所有peerDependencies,忽视依赖冲突,采用npm版本4到版本6的样式去安装依赖,已有的依赖不会覆盖。
GitHub 小技巧:掌握 Watch 功能,过滤掉不关注的消息和邮件
HelloGitHub 的博客
01-08 3203
经常有朋友反馈说邮箱被 GitHub 的消息通知狂轰滥炸,各种无关的邮件提醒搞得很烦。其实,对于这个问题,GitHub 官方肯定也是考虑到了的,并且很早就给了对应的解决方案。在这篇文章...
文件泄露漏洞
wanna的博客
07-18 6094
文件泄露: 相关知识总结: 由版本管理软件导致的泄露:(可以了解一下版本管理软件是什么和它的用途,这将有助于你了解相关的文件泄露漏洞“在这就不介绍了由于时间原因并没有对该内容进行详细的了解”) Github导致文件泄露 在Github中被泄露的敏感信息主要包括以下几类     邮箱信息     SVN信息     内部账号及密码     数据库连接信息     服务器配置信息 ...
GitHub敏感信息泄露监控工具
wdsj_xh的博客
05-07 5053
GitHub敏感信息泄露监控的工具有好几种,目前基本上是调用GitHub token通过关键词搜索匹配到的。常见的有GSIL、GShark、hawkeye、Github-Monitor等,既然有开源项目,一般就没必要重复造轮子了。 这里推荐最后一个VKSRC开源的Github-Monitor,项目地址:https://github.com/VKSRC/Github-Monitor 安装基本可以...
访问github网站现的问题
穷则独善其身,达则兼济天下。
01-13 8174
未连接:有潜在的安全问题 Firefox 检测到潜在的安全威胁,并因 github.com 要求安全连接而没有继续。 您的连接不是私密连接 攻击者可能会试图从 github.com 窃取您的信息(例如:密码、通讯内容或信用卡信息)。了解详情。
拆东墙补西墙之github上提示We found potential security vulnerabilities in your dependencies.存在潜在安全漏洞的问题
李小乐er
04-03 1万+
1.报错如图 2.点击see security alert 显示如下图 3.点击webpack-dev-server​​​​​​后​如下图 提示webpack-dev-server版本低于3.1.11 4.解决思路以及方法(亲测 可以解决github上的报错 但是本地npm run dev运行不起来 提示cannt destructure property compile of u...
探索lodash的一个安全漏洞
weixin_33869377的博客
01-05 1394
原文链接 近期打算准备重构我17年写的博客项目,打开项目看到了下图的一条安全漏洞的提示。 使用 lodash 这么多年,居然有高危漏洞,好奇心驱使我继续探索。 探索过程 What 在项目下执行: - npm audit 复制代码 图中网站地址: www.npmjs.com/advisories/…] 图中 HackerOneReport 地址:hackerone.com/reports...
github:解决项目依赖的安全隐患
foreverzwl
05-13 996
github上第一次上传了自己的项目,然后就收到了安全警告。 作为新手,当然也是对怎么解决这个问题,感到一头雾水。经过一番摸索之后,在这里记录并分享一下解决方式。先点进去看看是什么问题。 然后点击依赖名称进去看看详细情况: 然后我们打开我们项目中的package.json文件。这里我一开始在解决的时候,我百度了一下,然后有说法是在package-lock.json文件中查找依赖名称进行修改,然后我一查,能找到好多个地方都有这个依赖名称,我头都大了。幸好后面我机智的觉得可能在package
GShark-监测你的 Github 敏感信息泄露
neal1991的专栏
11-01 1468
近几年由于 Github 信息泄露导致的信息安全事件屡见不鲜,且规模越来越大。就前段时间华住集团旗下酒店开房记录疑似泄露,涉及近5亿个人信息。后面调查发现疑似是华住的程序...
GitMAD:用于发现Github上的敏感信息和数据泄漏的工具
systemino的博客
08-01 1074
GitMAD是一个用于发现Github上的敏感信息和数据泄漏的工具。通过给定关键字或域,GitMAD便会搜索Github上托管的代码,以查找是否存在匹配项。一旦找到了匹配项,GitMAD将克隆存储库并在文件中搜索一系列可配置的正则表达式。然后,GitMAD会获取这些结果,并将它们插入到数据库中供后续的查看使用。这些结果也可作为邮件警报发送。另外,GitMAD将持续运行以发现与输入关键字匹配的新存储...
Egor Homakov的Github安全漏洞揭示与学习
本文主要围绕Web安全开发的话题,聚焦于Egor Homakov这位知名的Web安全专家如何通过发现并报告GitHub安全漏洞,向开发者展示了实际的攻击路径和OAuth协议在其中的作用。Egor在《How I hacked Github again》这篇...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值