پلتفرم توسعه GitHub یک سرویس جدید را راه اندازی کرده است که وابستگی های پروژه را در JavaScript و Ruby برای آسیب پذیری های شناخته شده جستجو می کند و در صورت کشف موردی به صاحبان پروژه هشدار می دهد.

این سرویس جدید به توسعه دهندگان کمک می کند وابستگی های پروژه را به روز رسانی کنند، به محض اینکه GitHub از آسیب پذیری جدیدی که به تازگی اعلام شده، مطلع شود.

GitHub همه مخازن عمومی را که از نسخه تحت تاثیر وابستگی استفاده می کنند شناسایی می کند. پروژه هایی که دارای مخازن خصوصی هستند باید به سرویس تشخیص آسیب پذیری مراجعه کنند.

هشدارها باید تاثیر بزرگی بر امنیت داشته باشند، با توجه به این که GitHub در حال حاضر حدود 70 میلیون مخزن را میزبانی می کند، با پروژه هایی که بر بسته های نرم افزاری وابسته یا کتابخانه های نرم افزاری متکی بوده که اغلب هنگامی که عیب های جدید منتشر می شوند، به روز رسانی نمی شوند.

هشدارها بخشی از «نمودار وابستگی» GitHub هستند که به توسعه دهندگان کمک می کند تا پروژه هایی را که کد آنها به آن وابستگی دارد را کنترل کنند و لیست های مختلف وابستگی های Ruby و JavaScript پروژه را مشاهده نمایند.

توسعه دهندگان می توانند هشدارهای امنیتی را در نمودار وابستگی مخزن مشاهده کنند که از طریق «Insights» قابل دسترسی است.

هشدارها فقط به صاحبان پروژه و افراد با دسترسی مدیر به مخازن ارسال می شود. این شرکت وعده داده که هرگز آسیب پذیری های عمومی را برای یک مخزن خاص منتشر نکند. کاربران می توانند هشدار را از طریق ایمیل، اطلاعیه های وب یا رابط GitHub دریافت کنند.

GitHub همچنین از یادگیری ماشین برای ارائه راهکار برای جامعه GitHub استفاده می کند.

هشدارها بر اساس آسیب پذیری های عمومی در gems Ruby و NPM، مدیر بسته Node.js، در لیست های آسیب پذیری و معیوب رایج(CVE) شرکت MITRE هستند. GitHub همچنین Pythonرا به سرویس اخطار آسیب پذیری خود در سال 2018 اضافه خواهد کرد.

Python، Ruby و JavaScript در میان پنج زبان برتر در GitHub هستند همراه با Java و PHP.

به نظر می رسد که هشدارها در ابتدا محدود به نقایص با شناسه های CVE هستند. با این حال، GitHub می داند که بسیاری از معایب عمومی شناسه CVE ندارد. این نشان می دهد که پیشرفت های آینده به شناسایی آسیب پذیری بیشتر کمک می کند؛ زیرا اطلاعات بیشتری را در مورد آنها جمع آوری می کند.