GitHub，通过扫描项目依赖项检测出存在的隐患。一旦扫描出漏洞，用户会收到告警和漏洞的详细信息，包括严重级别和相应的解决办法。

该特性基于最近推出的功能而构建，GitHub自动扫描项目的依赖项，并将结果展示给用户。

GitHub旨在通过交叉引用依赖项数据和安全数据尽可能多地识别隐患，并尽快告知用户。他们使用了机器学习技术，并结合了一些公共数据：

\具有CVE ID（National Vulnerability Database发布的公开漏洞）的漏洞都将被包含在安全告警当中。不过，并不是所有的漏洞都有CVE ID，很多已公开的漏洞并没有相应的CVE ID。随着安全数据量的增长，我们将继续竭力更好地识别漏洞。\

被识别出来的漏洞会获得一个以CVE记录为依据的安全严重级别，用户根据实际情况打上补丁或进行问题修复：

\在获知代码仓库中存在依赖项漏洞之后，应该分析它们对项目的影响，在更新依赖项之前要确保这些漏洞已得到修复。如果依赖项没有推出安全修复，建议移除该依赖项，使用安全的同类依赖项来替代。\

默认情况下，该特性会扫描所有的公共代码库，也会选择性地扫描部分私有代码库。不过扫描结果不会被公开。目前只支持Ruby和JavaScript的代码仓库，GitHub预计在2018年支持Python。提供了更多相关信息。

查看英文原文：