GitHub 供应链安全已支持 Dart 开发者生态 _生活百科

文章插图
【GitHub 供应链安全已支持 Dart 开发者生态】通过 Dart 和 GitHub 团队的共同努力，自 10 月 7 日起，GitHub 的 Advisory Database (安全咨询数据库)、Dependency Graph (依赖项关系图) 和 Dependabot (依赖更新机器人) 开始支持 Dart 开发者生态，这也意味着 GitHub 为 Dart 和 Flutter 应用的供应链安全提供了全面支持:

GitHub 的 Advisory Database (安全咨询数据库) 为漏洞报告者和项目维护者之间提供了一个协作平台，漏洞报告者和项目维护者可以共同合作，在漏洞被公开之前私密讨论并修复漏洞。
Dependency Graph (依赖项关系图) 主要是分析 Dart / Flutter 项目的 pubspec.yaml 和 pubspec.lock 文件来确定项目依赖关系。
Dependabot 是 GitHub 收购并免费开放的一个检测依赖项安全性的工具，一旦你依赖的 Dart package 版本发现新漏洞时，Dependabot 就可以发出通知并自动创建拉取请求 (Pull Request) ，将 package 版本升级到没有漏洞的版本。查看过往推文: Dependabot 开始支持 pub package 版本检测了解更多。

Dart 产品经理 Michael Thomsen 表示：通过与 GitHub 团队的合作，Dart 开发者们可以在新的漏洞影响到客户之前发现和解决问题；GitHub 的高级产品经理 Courtney Claessens 也提到说，在供应链安全侧全面支持 Dart，不仅是对开源社区、开发者的支持，更能够帮助数百万使用 Dart 应用的用户们。