GitHub的供應鏈安全特性包括咨詢數據庫、Dependabot警報和依賴關系圖現在可以用于Rust Cargo文件。

為了幫助Rust開發人員發現和防止安全漏洞，GitHub已經為快速增長的Rust語言提供了供應鏈安全特性套件。

這些特性包括GitHub Advisory Database，它已經有超過400個Rust安全建議，以及Dependabot警報和更新，以及依賴圖支持，在Rust的Cargo包文件中提供脆弱依賴的警報。Rust用戶可以在使用GitHub時報告并最終防止安全漏洞。

GitHub咨詢數據庫是一個安全咨詢數據庫，重點是針對開發人員的可操作漏洞信息。該數據庫中引用的大多數漏洞來自RustSec，這是一個發布與Rust庫相關的安全建議的組織。Rust包的維護者可以使用安全建議與漏洞報告者合作，在公開發布之前私下討論并修復漏洞。開發人員可以通過社區貢獻用CVE報告Rust漏洞。

GitHub的依賴關系圖分析倉庫的Cargo.toml和貨物。鎖定文件以確定項目中的依賴項。依賴關系圖支持Dependabot，它提醒開發人員存在已知的漏洞，并創建拉請求來更新受影響的依賴關系。雖然依賴關系圖在公共存儲庫中默認啟用，但開發人員必須為私有存儲庫啟用它。

GitHub表示，如果公共存儲庫的依賴關系圖還沒有被填充，那么很快就會被填充。對Rust的依賴圖支持分為兩個階段。Rust依賴的完整包元數據，包括映射包到GitHub存儲庫，將在未來的版本中發布。

開發人員可以通過依賴審查GitHub Action來防止Rust漏洞的引入，該操作會掃描Rust依賴中更改的pull請求，并識別是否有任何已知漏洞的新請求。然后，開發人員可以阻止它們合并到代碼中。GitHub提供了在GitHub文檔中保護Rust庫的指導。

更多資訊內容請查看該鏈接：www.infoworld.com/article/366…

轉載于：GitHub為Rust語言添加了供應鏈安全工具 - 掘金 (juejin.cn)