GitHub 供应链安全已支持 Dart 开发者生态

2023-10-29

通过 Dart 和 GitHub 团队的共同努力，自 10 月 7 日起，GitHub 的 Advisory Database (安全咨询数据库)、Dependency Graph (依赖项关系图) 和 Dependabot (依赖更新机器人) 开始支持 Dart 开发者生态，这也意味着 GitHub 为 Dart 和 Flutter 应用的供应链安全提供了全面支持:

GitHub 的 Advisory Database (安全咨询数据库) 为漏洞报告者和项目维护者之间提供了一个协作平台，漏洞报告者和项目维护者可以共同合作，在漏洞被公开之前私密讨论并修复漏洞。
Dependency Graph (依赖项关系图) 主要是分析 Dart / Flutter 项目的 pubspec.yaml 和 pubspec.lock 文件来确定项目依赖关系。
Dependabot 是 GitHub 收购并免费开放的一个检测依赖项安全性的工具，一旦你依赖的 Dart package 版本发现新漏洞时，Dependabot 就可以发出通知并自动创建拉取请求 (Pull Request)，将 package 版本升级到没有漏洞的版本。查看过往推文: Dependabot 开始支持 pub package 版本检测了解更多。

Dart 产品经理 Michael Thomsen 表示：通过与 GitHub 团队的合作，Dart 开发者们可以在新的漏洞影响到客户之前发现和解决问题；GitHub 的高级产品经理 Courtney Claessens 也提到说，在供应链安全侧全面支持 Dart，不仅是对开源社区、开发者的支持，更能够帮助数百万使用 Dart 应用的用户们。

Dependabot 会检测 package 的更新并创建拉取请求以请求更新到最新版本

Dependency Graph (依赖项关系图) 会展示出项目所依赖的其他 package

发布 package 到 pub.dev 的安全最佳实践

作为 package 开发者或维护者，当你将 package 发布到 pub.dev 的时候，这里有两条最佳实践的建议:

使用 GitHub 的安全公告功能在你的代码仓库中创建新的安全公告，GitHub 会将这个纳入其 Advisory Database (安全咨询数据库) 中。
为你的 GitHub 代码仓库配置安全策略，详细说明用户可以用什么样的方式报告安全问题。

为发布到 pub.dev 上的 package 创建安全公告 (Ecosystem 选择 Pub)

上述提到的这些安全策略和功能均已面向所有用户发布 (私有仓库也只需要加入一点的额外配置)，快去试试吧，保护自己的代码安全，刻不容缓。

延伸阅读

本文内容由网友自发贡献，版权归原作者所有，本站不承担相应法律责任。如您发现有涉嫌抄袭侵权的内容，请联系:hwhale#tublm.com(使用前将#替换为@)

flutter

GitHub

GitHub 供应链安全已支持 Dart 开发者生态的相关文章

Flutter中如何在弹出屏幕后调用函数更新值？

屏幕 1 显示带有添加按钮的项目列表屏幕 2 用于将新项目添加到列表的表单屏幕 2 gt gt 屏幕 1 在屏幕 2 中调用 navigator pop 时如何在屏幕 1 中调用方法 setState 更新列表谁能帮我吗我不想再次
如何在 Angular 模板中嵌入 GitHub gist？

角度忽略script其模板中包含标签但加载 GitHub gist 需要它们执行此操作的最佳做法是什么使用iframe 创造script动态标记或者是其他东西一种方法是创建一个iframe with script里面并在你希望你
Dart：未为类型“对象”定义运算符“[]”？功能（）'。尝试定义运算符“[]”

我正在创建一个 Flutter 应用程序但在实现 Firebase 时陷入困境 enter return Container child StreamBuilder
使用 flutter 处理 Appcheck 时出错

我想在 firebase 存储中上传文件但经过多次研究后出现了 appcheck 错误我发现我必须在 firebase 上激活 Appcheck 而且还要在我的应用程序上激活它在 youtube 上的谷歌视频中我看到我必须在构建我的
Flutter：BottomNavigationBar 在选项卡更改时重建页面

我在 Flutter 中的 BottomNavigationBar 有问题如果我更改选项卡我想让我的页面保持活动状态这是我的实现底部导航 class Home extends StatefulWidget override Stat
Flutter - 当用户移动到其他（预览）屏幕时如何正确暂停相机？

我需要pause当我移动到导航树上的另一个屏幕以节省电池和性能时相机我尝试过了dispose cameraController 但 flutter 从另一个屏幕返回时不会重新初始化状态但这很明显我使用相机的主要代码 override
我可以为 GitHub Pages 创建多个存储库吗？

我创建了一个用于在 GitHub 上托管博客的存储库有什么方法可以创建额外的存储库来托管多个博客或者我仅限于一个存储库因为用户名 github io只能使用一次吗您可以将一个站点发布到https
在 flutter 中将 JSON 解析为 Map

我收到后端的响应 measurements pm10 name pm10 value 20 8647 unit g m pm25 name pm10 value 20 8647 unit g m o2 name pm10 v
Flutter：在 GridView 平铺中使用 GestureDetector 进行点击延迟

通常以下行为本质上是快速的然而在 GridView 或我假设的任何 ScrollView 也尝试过 ListView 内性能似乎非常差当我点击屏幕时容器的不透明度会增加但会出现延迟知道我缺少什么吗 import packag
Flutter：一张带有圆形头像的卡片，非常引人注目

我想做一张卡片CircleAvatar 突出显示您可以在这张图片中看到详细信息我不知道它是如何工作的我尝试了一些Stack和定位小部件但它不起作用 Stack确实是解决方案 Stack children
无法验证 GitHub 中的虚假电子邮件

我已经创建了一个 GitHub 帐户并且我不喜欢公开分享我的电子邮件地址我厌倦了垃圾邮件所以我关注了 GitHub保密您的电子邮件地址 https help github com articles keeping your email
Git 不断提示我输入密码

我已经使用 Git 一段时间了但是不断要求输入密码开始让我感到厌烦我使用的是 Mac OS X 和 GitHub 并且按照 GitHub 的说明设置了 Git 和我的 SSH 密钥设置 Git 页面 http help github c
打开键盘会导致有状态小部件重新初始化

我在 Stable 分支中使用 Flutter 1 2 1 为了说明我的问题假设我有页面 A 和 B A 使用以下命令导航到 BNavigator pushB 使用以下命令导航回 ANavigator pop 两者都是有状态的小部件当我
部署在github中的Jekyll显示index.html文件的原始文本

我正在尝试使用来自的分叉存储库来部署 Jekyll 网站https github com cotes2020 jekyll theme chirpy https github com cotes2020 jekyll theme chirp
git - 更新 fork 的 master 并将我的分支重新建立到它之上？

我分叉了一个 github 项目然后将其克隆到本地然后我在新分支中做了一些更改my github the project repo 然后我添加并提交了更改并推送到我的 github 存储库并提交了拉取请求所有者已收到我的请求并希望
如何从 BottomNavigationBar 中删除图标？

我只需要 BottomNavigationBarItem 中的标签但我找不到删除它们的方法您可以隐藏标签showSelectedLabels and showUnselectedLabels设置为 false 但图标没有等效项构造函数
NestedScrollView 与 ListView 中的粘性选项卡

布局按预期工作但以下情况除外当我滚动一页时第二页也会滚动没有那么多但足以掩盖第一个项目我可以想象它与 NestedScrollView 有关但我不知道如何继续 import package flutter material d
Flutter如何在BottomNavigationBar中添加边距或填充

我正在尝试制作底部导航栏但在屏幕上左右填充现在我用容器包裹 BottomNavigationBar 并在其中添加填充问题是 BottomNavigationBar 默认背景仍然包裹所有图层所以我们可以删除那里的背景颜色吗 Goal
Flutter Spotify Api 身份验证

我需要在使用 Spotify api 的 Flutter 应用程序中对用户进行身份验证我使用 flutter web auth 打开 WebView 并让用户在那里登录我无法返回应用程序在 Spotify 仪表板中我将回调 Uri
当我使用 ListView 时，ListTile OnTap 正在工作。但是当我使用 ListWheelScrollView 时它不起作用

当我使用 ListView 时 ListTile OnTap 正在工作但是当我使用 ListWheelScrollView 时它不起作用我的意思是它不会被窃听观点发生变化但我似乎无法点击它我在很多地方和链接中寻找解决方案但仍然找

随机推荐

【排序】快速排序

思路分析快速排序采用双向查找的策略每一趟选择当前所有子序列中的一个关键字作为枢纽轴将子序列中比枢纽轴小的前移比枢纽轴大的后移当本趟所有子序列都被枢轴按上述规则划分完毕后将会得到新的一组更短的子序列他们将成为下趟划分的初始序列集
WARN:Establishing SSL connection without server’s identity verification is not recommended

在JAVA WEB项目中做到C3P0数据库连接池部分运行Java代码时候出现一大片红色报错警告 Establishing SSL connection without server s identity verification is no
【概率论与数理统计】猴博士笔记 p24-25 条件概率密度函数、求两个随机变量形成的函数的分布

条件概率密度函数题型如下已知概率密度求条件概率密度已知x怎么样的情况下y服从的概率或y怎么样的情况下x服从的概率求f x y 步骤对于后两个是在哪个字母的条件下哪个字母就在后面即如果是在x 的条件下那么就选图中第三条
LeetCode 283. 移动零（C++）

1 题目如下给定一个数组 nums 编写一个函数将所有 0 移动到数组的末尾同时保持非零元素的相对顺序请注意必须在不复制数组的情况下原地对数组进行操作示例 1 这里是引用输入 nums 0 1 0 3 12 输出 1 3 12
mac生成linux下可执行的.go二进制文件

在项目的根目录下使用下面命令 env GOOS linux GOARCH amd64 go build o 指定文件名 main go
elasticsearch 后置过滤器(Post Filter)

本章翻译自Elasticsearch官方指南的Filtering Queries and Aggregations一章过滤查询以及聚合 A natural extension to aggregation scoping is filte
AC-DC--------单相可控整流电路

带电阻负载的工作情况原理图波形图在分析整流电路工作时认为晶闸管开关器件为理想器件即晶闸管导通时其管压降等于零晶闸管阻断时其漏电流等于零除非特意研究晶闸管的开通关断过程一般认为晶闸管的开通与关断过程瞬时完成工作原理改
基本流程图与跨职能流程图

流程可以用流程图来表示但它们有一个缺点标准流程图无法表明谁负责这些活动流程可以用流程图来表示但它们有一个缺点标准流程图无法表明谁负责这些活动因此跨职能流程图或称为泳道图泳道流程图跨职能流程图通过定义谁做什么来使流程更加
Ajax中get请求和post请求的区别

Ajax中请求方式有get和post两种二者的区别可以从传参方式请求头以及参数类型来进行比较 post请求 get请求区别 1 传参方式 get请求在url的尾部传递参数而post请求在send方法中传递参数 2 请求头 post请
java解析邮件并下载附件

package com testspring mailserver mail parsemail import com sun mail pop3 POP3Folder import org springframework web bind
配置EPEL 源

EPEL Extra Packages for Enterprise Linux 是由 Fedora Special Interest Group 为企业 Linux 创建维护和管理的一个高质量附加包集合适用于但不仅限于 Red Hat
Spring Boot中禁用Jackson的科学计数法的序列化与反序列化

application properties spring jackson deserialization USE BIG DECIMAL FOR FLOATS true spring jackson serialization WRITE
(40)[ICCV15] Fast R-CNN

计划完成深度学习入门的126篇论文第四十篇微软的Ross Girshick研究的Obeject Detection的模型 github Abstract 提出了一种基于区域卷积网络的快速目标检测方法 Fast R CNN Fast R C
ChatGPT在编程方面的用例：节省时间并提高工作效率

除非您一直住在树林里的小屋里远离电网否则您可能听说过ChatGPT AI 聊天机器人于 2022 年 11 月发布并引起了不小的轰动这引出了一个问题这项激动人心的新技术究竟能为您您的企业和您的行业做什么 ChatGPT 在各个领域
山洪灾害监测预警系统解决方案

一方案背景山洪灾害是指山丘地区由降雨引起的洪水泥石流和滑坡灾害近年来我国突发性局部性极端强降雨引发的山洪灾害导致大量人员伤亡占洪涝灾害死亡总人数的比例趋上升趋势群死群伤事件时有发生山洪灾害严重制约山区和丘陵地区经济发展人
webpack

一背景随着前端的项目逐渐扩大必然会带来的一个问题就是性能尤其在大型复杂的项目中前端业务可能因为一个小小的数据依赖导致整个页面卡顿甚至奔溃一般项目在完成后会通过webpack进行打包利用webpack对前端项目性能优化是一个
Spring源码深度解析：三、容器的刷新 - refresh()

一前言文章目录 Spring源码深度解析文章目录我们先通过Spring源码的整体流程来了解Spring的工作流程是什么接着根据这个工作流程一步一步的阅读源码二 Spring容器的启动 public class Test pub
QT页面旋转涉及源码修改

QT页面旋转涉及源码修改 qlinuxfbscreen cpp qlinuxfbscreen h qt页面旋转在源码中直接搜索这两个文件名称直接替换内容即可 qlinuxfbscreen cpp Copyright C 2016 The
Mongo进阶--存储原理

存储引擎 Storage wiredTiger引擎 3 0新增引擎官方宣称在read insert和复杂的update下具有更高的性能所以后续版本我们建议使用wiredTiger 所有的write请求都基于文档级别的lock 因此
GitHub 供应链安全已支持 Dart 开发者生态

通过 Dart 和 GitHub 团队的共同努力自 10 月 7 日起 GitHub 的 Advisory Database 安全咨询数据库 Dependency Graph 依赖项关系图和 Dependabot 依赖更新机器人开始支

热门标签