【文章內容使用 Gemini 1.5 Pro 自動翻譯產生】
與 GitHub 合作,為 Dart 套件提供供應鏈安全性
從今天開始,GitHub 在其諮詢資料庫、相依關係圖和 Dependabot 中支援 Dart。這表示 GitHub 現在為 Dart 和 Flutter 應用程式的供應鏈安全性提供全面支援。
要了解這些新功能,請查看 GitHub 部落格文章。要了解這對身為 Dart 開發人員的您意味著什麼,請繼續閱讀。
“隨著 Dart 現在加入我們的供應鏈安全生態系統,GitHub 擴展了其對快速成長的開源社群的支援,”GitHub 資深產品經理 Courtney Claessens 表示。“透過將安全性左移,我們不僅幫助開發人員,還幫助數百萬依賴於 Dart 開發的應用程式的使用者。”
了解套件安全問題
想像一下,您正在構建一個很棒的 Flutter 應用程式。您在 pubspec 中使用了許多非常好的套件(例如 像這樣),並將您的應用程式發佈到多個商店。如果其中一個套件有一個重要的更新來修復安全漏洞,會發生什麼事?您如何才能知道這一點?除了定期手動檢查數十個套件的 CHANGELOG 之外,您無法做到這一點。這是一個真正的挑戰。
這就是 Dependabot 的用武之地。如果您在 GitHub 儲存庫中管理您的原始碼,相依關係圖和 Dependabot 會監控您的 pubspec 相依關係,並讓您知道是否錯過了更新。Dependabot 會提交一個拉取請求,代表您將 pubspec.yaml 更新到套件的最新版本。這一切都是透過 GitHub 中新的 Dart 特定改進實現的。
Dart 套件的諮詢資料庫
此場景依賴於一個高品質的開放安全諮詢資料庫,其中列出了 Dart 套件中已知的漏洞。為此功能,我們與 GitHub 合作,將 Dart 支援加入到他們熱門的 GitHub 諮詢資料庫 中。該資料庫已經包含了數千個其他生態系統(如 npm、NuGet 和 Maven)的諮詢。
從今天開始,您現在可以在為已發佈的 Dart 套件建立諮詢時選擇 Pub 生態系統。
如果您在 pub.dev 上發佈套件,我們建議兩個新的最佳實務。
- 使用 GitHub 的 安全諮詢 功能在您的 GitHub 儲存庫中建立新的諮詢。GitHub 會將這些諮詢納入到中央 GitHub 諮詢資料庫中。
- 設定您的 安全策略,包括詳細說明使用者如何回報漏洞。
立即保護您的 Dart 儲存庫
新的安全功能現已推出。如果您的原始碼位於公共儲存庫中,Dependabot 已開始監控安全問題。如果您的程式碼位於私有的 GitHub 儲存庫中,您需要更多 設定 才能啟用此功能。
與 GitHub 合作,為 Dart 套件提供供應鏈安全性 最初發佈在 Dart 上的 Medium,人們在那裡透過突出顯示和回應這個故事來繼續討論。