GitHub добавил информирование об уязвимостях в репозиториях

Hа GitHub реализовано информирование об использовании зависимостей с неисправленными уязвимостями. В настоящее время эта возможность реализована только для проектов на языках Javascript и Ruby, которые составляют 75% от кода с зависимостями, размещенного на GitHub. В 2018 году ожидается реализация аналогичной функциональности для проектов на языке Python.

Просмотр списка доступен в репозиториях, которые содержат файл зависимостей – Gemfile (для Ruby) либо package.json (для JavaScript). Причем, репозиторий должен быть оригинальным (в форках информирование об уязвимостях не отображается).

Список связанных пакетов выводится на вкладке Insights в группе Dependency graph. В списке цветом выделяются версии с обнаруженными уязвимостями, а также выводится пояснение от GitHub с предложением исправления.

При обнаружении потенциальной уязвимости в используемом пакете администраторы репозитория получат уведомление о необходимости обновления пакета на известную безопасную версию.