为了帮助 Rust 开发人员发现和防止安全漏洞,GitHub 已将其供应链安全功能套件提供给快速增长的 Rust 语言。
这些功能包括 GitHub 咨询数据库,它已经有 400 多个 Rust 安全建议,以及 Dependabot 警报和更新,以及依赖关系图支持,提供有关 Rust Cargo 包文件中易受攻击的依赖项。
GitHub 咨询数据库是一个安全咨询数据库,专注于为开发人员提供可操作的漏洞信息。数据库中引用的大多数漏洞来自 RustSec,这是一个发布与 Rust 库相关的安全公告的组织。Rust 包维护者可以使用安全公告与漏洞报告者合作,在公开宣布漏洞之前私下讨论和修复漏洞。开发人员可以通过社区贡献使用 CVE 报告 Rust 漏洞。
GitHub 的依赖关系图分析存储库的 Cargo.toml 和 Cargo.lock 文件以确定项目中的依赖关系。依赖关系图支持 Dependabot,它会提醒开发人员已知漏洞并创建拉取请求以更新受影响的依赖关系。虽然依赖关系图在公共存储库中默认启用,但开发人员必须为私有存储库启用它。
GitHub 表示,如果尚未填充公共存储库的依赖关系图,很快就会出现。Rust 的依赖关系图支持分两个阶段推出。Rust 依赖项的完整包元数据,包括将包映射到 GitHub 存储库,将在未来的版本中发布。
开发人员可以通过依赖项审查 GitHub Action来防止引入 Rust 漏洞,该操作会扫描拉取请求以查找 Rust 依赖项的更改,并确定是否有任何新的漏洞存在已知漏洞。然后,开发人员可以阻止它们被合并到代码中。GitHub 提供了在 GitHub Docs中保护 Rust 存储库的指南。
原文始发于微信公众号(安全实验室):GitHub 为 Rust 语言添加供应链安全工具
评论