GitHub的供应链安全特性包括咨询数据库、Dependabot警报和依赖关系图现在可以用于Rust Cargo文件。

为了帮助Rust开发人员发现和防止安全漏洞，GitHub已经为快速增长的Rust语言提供了供应链安全特性套件。

这些特性包括GitHub Advisory Database，它已经有超过400个Rust安全建议，以及Dependabot警报和更新，以及依赖图支持，在Rust的Cargo包文件中提供脆弱依赖的警报。Rust用户可以在使用GitHub时报告并最终防止安全漏洞。

GitHub咨询数据库是一个安全咨询数据库，重点是针对开发人员的可操作漏洞信息。该数据库中引用的大多数漏洞来自RustSec，这是一个发布与Rust库相关的安全建议的组织。Rust包的维护者可以使用安全建议与漏洞报告者合作，在公开发布之前私下讨论并修复漏洞。开发人员可以通过社区贡献用CVE报告Rust漏洞。

GitHub的依赖关系图分析仓库的Cargo.toml和货物。锁定文件以确定项目中的依赖项。依赖关系图支持Dependabot，它提醒开发人员存在已知的漏洞，并创建拉请求来更新受影响的依赖关系。虽然依赖关系图在公共存储库中默认启用，但开发人员必须为私有存储库启用它。

GitHub表示，如果公共存储库的依赖关系图还没有被填充，那么很快就会被填充。对Rust的依赖图支持分为两个阶段。Rust依赖的完整包元数据，包括映射包到GitHub存储库，将在未来的版本中发布。

开发人员可以通过依赖审查GitHub Action来防止Rust漏洞的引入，该操作会扫描Rust依赖中更改的pull请求，并识别是否有任何已知漏洞的新请求。然后，开发人员可以阻止它们合并到代码中。GitHub提供了在GitHub文档中保护Rust库的指导。

更多资讯内容请查看该链接：www.infoworld.com/article/366…

转载于：GitHub为Rust语言添加了供应链安全工具 - 掘金 (juejin.cn)