Code-Hosting: Github vergibt CVE-Nummern und übernimmt Analyse-Anbieter

Die Code-Hosting- und Entwicklungsplattform Github darf künftig CVE-Nummern vergeben. Dank einer Übernahme wird außerdem wohl die Suche nach Sicherheitslücken im Code vereinfacht und Github zeigt Sicherheitswarnungen für PHP.

Artikel veröffentlicht am ,
Dank Github soll das Absichern von Code künftig noch einfacher werden.
Dank Github soll das Absichern von Code künftig noch einfacher werden. (Bild: Github)

Viele Open-Source-Projekte haben Probleme, die Vergabe von CVE-Nummern selbst zu kontrollieren, was sich zuletzt etwa an dem Videolan-Projekt gezeigt hat. Zumindest für jene Projekte, die die Code-Hosting- und Entwicklungsplattform Github verwenden, könnte dies künftig einfacher werden, denn Github darf künftig selbst CVE-Nummern vergeben.

Stellenmarkt
  1. Microsoft 365 Cloud Engineer (m/w/d)
    BUCS IT, Wuppertal
  2. IT-Systemtechniker in der Leit- und Kommunikationstechnik der Werkfeuerwehr (m/w/d)
    CURRENTA GmbH & Co. OHG, Leverkusen, Dormagen, Krefeld-Uerdingen
Detailsuche

Genutzt werden soll dies für die in den Diensten integrierten Maintainer Security Advisories. Darüber können Code-Betreuer in zunächst geschlossenen Gruppen und Issues mögliche Sicherheitslücken diskutieren und eventuelle Warnhinweise für die Nutzer des Codes schreiben. Für diese auf Github derart bearbeiteten Sicherheitslücken können die Beteiligten künftig also auch CVE-Nummern bekommen.

Um das Finden von Sicherheitslücken zu vereinfachen, hat Github außerdem den Dienst Semmle übernommen. Dieser bietet eine semantische Code-Analyse an, mit deren Hilfe Entwickler ihren eigenen Code nach möglicherweise kritischen Schwachstellen durchsuchen können sollen. Wie genau die Technologie von Semmle in den Github-Dienst integriert werden soll, ist jedoch noch nicht ganz klar. Details dazu will das Unternehmen aber zu einem späteren Zeitpunkt bereitstellen.

Um die Sicherheit von Projekten auf der Plattform weiter zu verbessern, hat Github seinen vor fast zwei Jahren vorgestellten Dependency Graph auf PHP erweitert. Damit können in dieser Sprache verfasste Projekte leicht über Sicherheitslücken und verfügbare Updates ihrer Abhängigkeiten informiert werden. Diese Funktion steht unter anderem bereits für Ruby oder Python zur Verfügung.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Aktuell auf der Startseite von Golem.de
Klimaforscher
Das Konzept der Klimaneutralität ist eine gefährliche Falle

Mit der Entnahme von CO2 in den nächsten Jahrzehnten netto auf null Emissionen zu kommen, klingt nach einer guten Idee. Ist es aber nicht, sagen Klimaforscher.
Von James Dyke, Robert Watson und Wolfgang Knorr

Klimaforscher: Das Konzept der Klimaneutralität ist eine gefährliche Falle
Artikel
  1. 30.000 Menschen sahen zu: Bitcoin-Diebe lockten mit gefälschtem Apple-Livestream
    30.000 Menschen sahen zu
    Bitcoin-Diebe lockten mit gefälschtem Apple-Livestream

    Cyberkriminelle haben auf Youtube eine Keynote des Herstellers Apple vorgetäuscht, um Zuschauer um Bitcoin zu betrügen.

  2. Eco-SIM: Vodafone führt die recycelte SIM-Karte ein
    Eco-SIM
    Vodafone führt die recycelte SIM-Karte ein

    Laut Vodafone ist das Netz schon grün. Auch die SIM-Karte soll umweltfreundlich werden. Doch ganz so einfach ist es nicht.

  3. M1 Pro/Max: Dieses Apple Silicon ist gigantisch
    M1 Pro/Max
    Dieses Apple Silicon ist gigantisch

    Egal ob AMD-, Intel- oder Nvidia-Hardware: Mit dem M1 Pro und dem M1 Max schickt sich Apple an, die versammelte Konkurrenz zu düpieren.
    Eine Analyse von Marc Sauter

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • Cyber Week: Bis zu 16% auf SSDs & RAM von Adata & bis zu 30% auf Alternate • 3 Spiele für 49€: PC, PS5 uvm. • Switch OLED 369,99€ • 6 Blu-rays für 40€ • MSI 27" Curved WQHD 165Hz HDR 479€ • Chromebooks zu Bestpreisen • Alternate (u. a. Team Group PCIe-4.0-SSD 1TB 152,90€) [Werbung]
    •  /