開発者プラットフォームは、依存性グラフと呼ばれる機能を開始しました 。これは、コードに既知の脆弱性が含まれているかどうかを開発者に通知します。 システムは、プロジェクトで使用される依存関係とモジュールを分析し、それらに含まれるセキュリティエラーに関する情報を表示します。 このイニシアチブは、オープンソースプロジェクトのセキュリティを改善することを目的としています。
現在、JavaScriptおよびRubyプログラミング言語のみがサポートされていますが、まもなくGitHubの作成者はPythonの追加を約束します。
GitHubのプロジェクト管理者は自動アラートを受信し、個々のチームまたは特定の開発者に通知できます。 通知のテキストには、脆弱性を持つ依存関係の名前とそれを更新するための推奨事項が含まれます。 警告エンジンは機械学習テクノロジーを使用します。
アラートは主にCVE識別子が割り当てられた脆弱性に関するものですが、GitHubの代表者によると、場合によっては、CVEが割り当てられていない公開された脆弱性に関するデータが表示されます。
ソフトウェア製品のコード内の脆弱性を識別するためのその他のツールがあります。 たとえば、クラウドベースのスキャナーである無料のPT BlackBox Scannerは、Webサイトのセキュリティエラーを検出できます。 さらに、アプリケーションソースコードセキュリティアナライザーは、脆弱性を見つけるのに効果的です。たとえば、 PT Application Inspector製品は、PHPi、Java、.NET、HTML、SQLを含む多くのプラットフォームと言語、およびSQLi、XSSを含むすべてのタイプのアプリケーション脆弱性と連携しますおよびXXE。