文 | Travis

出品 | OSC开源社区(ID:oschina2013)

GitHub 近日宣布 , 为了给所有开发者和组织创造一个更安全的供应链,以及赋予所有开发者社区一个全面的漏洞数据库。现在 GitHub Advisory Database 已经正式支持 Rust 了,其中会包含有关 Rust 生态系统的安全咨询。

Rust 的加入使 Advisory Database 的覆盖范围扩大到八个支持的编程语言生态系统:Composer (PHP)、Go、Maven、npm、NuGet、pip、RubyGems 和 Rust。

Advisory Database 是一个开放的安全咨询数据库,专注于为开发者提供高质量、可操作的漏洞信息。它以 Creative Commons Attribution 4.0 授权,因此数据可以在任何地方使用。

Advisory Database 包含已映射到 GitHub 依赖关系图跟踪的软件包的安全漏洞列表。GitHub 会从以下来源向 Advisory Database 添加漏洞:

  • 国家漏洞数据库

  • 机器学习和人工审查结合检测 GitHub 上公共提交中的漏洞

  • 在 GitHub 上报告的安全公告

  • npm 安全通告 数据库

每个安全通报都包含有关漏洞的信 息,包括描述、严重性、受影响的程序包、程序包生态系统、受影响的版本和修补的版本、影响以及可选信息,例如参考、解决方法和信用。此外,国家漏洞数据库列表中的公告包含 CVE 记录链接,通过链接可以查看漏洞、其 CVSS 得分及其质化严重等级的更多详细信息。

对 Rust 的支持确保了 Rust 社区的任何成员都可以在他们代码所在的同一个地方检查安全问题。这仅仅是对 Rust 支持的第一步,GitHub 还在努力实现对 Ru st 依赖关系图 和 Dependabot 警报 的支持 。

为了实现在 Advisory Database 中支持 Rust,GitHub 得到了 RustSec 和 Rust 社区的大量支持。其中 RustSec 是一个独立的组织,负责收集、规范和发布与 Rust 库相关的安全建议。RustSec 的免费公共数据库是 GitHub 的 Rust 漏洞数据集的起点。

GitHub 后续将计划与 RustSec 和更广泛的 Rust 社区展开合作,进一步补充他们的数据,使 GitHub Advisory Database 中的数据具有更高可用性并易于开发者使用,通过合作,GitHub 可以在减少漏洞和提升安全性上做更多的工作。

到目前为止,GitHub 已经发布了 318 个 Rust 安全问题,随着他们从社区收集更多的数据,这个数字还会持续增长。你可以在 GitHub Advisory Database 的左侧菜单中选择 Rust 分类 来查看 相关问题。