GitHub ,為了給所有開發者和組織創造一個更安全的供應鏈,以及賦予所有開發者社群一個全面的漏洞資料庫。現在 GitHub Advisory Database 已經正式支援 Rust 了,其中會包含有關 Rust 生態系統的安全諮詢。
Rust 的加入使 Advisory Database 的覆蓋範圍擴大到八個支援的程式語言生態系統:Composer (PHP)、Go、Maven、npm、NuGet、pip、RubyGems 和 Rust。
Advisory Database 是一個開放的安全諮詢資料庫,專注於為開發者提供高品質、可操作的漏洞資訊。它以 Creative Commons Attribution 4.0 授權,因此資料可以在任何地方使用。
Advisory Database 包含已對映到 GitHub 依賴關係圖跟蹤的軟體包的安全漏洞列表。GitHub 會從以下來源向 Advisory Database 新增漏洞:
- 機器學習和人工審查結合檢測 GitHub 上公共提交中的漏洞
- 在 GitHub 上報告的安全公告
- 資料庫
每個安全通報都包含有關漏洞的資訊,包括描述、嚴重性、受影響的程式包、程式包生態系統、受影響的版本和修補的版本、影響以及可選資訊,例如參考、解決方法和信用。此外,國家漏洞資料庫列表中的公告包含 CVE 記錄連結,通過連結可以檢視漏洞、其 CVSS 得分及其質化嚴重等級的更多詳細資訊。
對 Rust 的支援確保了 Rust 社群的任何成員都可以在他們程式碼所在的同一個地方檢查安全問題。這僅僅是對 Rust 支援的第一步,GitHub 還在努力實現對 Rust 和 的支援。
為了實現在 Advisory Database 中支援 Rust,GitHub 得到了 RustSec 和 Rust 社群的大量支援。其中 RustSec 是一個獨立的組織,負責收集、規範和釋出與 Rust 庫相關的安全建議。RustSec 的免費公共資料庫是 GitHub 的 Rust 漏洞資料集的起點。
GitHub 後續將計劃與 RustSec 和更廣泛的 Rust 社群展開合作,進一步補充他們的資料,使 GitHub Advisory Database 中的資料具有更高可用性並易於開發者使用,通過合作,GitHub 可以在減少漏洞和提升安全性上做更多的工作。
到目前為止,GitHub 已經發布了 318 個 Rust 安全問題,隨著他們從社群收集更多的資料,這個數位還會持續增長。你可以在 GitHub Advisory Database 的左側選單中選擇來檢視相關問題。