• IT-Karriere:
  • Services:

Code-Hosting: Github vergibt CVE-Nummern und übernimmt Analyse-Anbieter

Die Code-Hosting- und Entwicklungsplattform Github darf künftig CVE-Nummern vergeben. Dank einer Übernahme wird außerdem wohl die Suche nach Sicherheitslücken im Code vereinfacht und Github zeigt Sicherheitswarnungen für PHP.

Artikel veröffentlicht am ,
Dank Github soll das Absichern von Code künftig noch einfacher werden.
Dank Github soll das Absichern von Code künftig noch einfacher werden. (Bild: Github)

Viele Open-Source-Projekte haben Probleme, die Vergabe von CVE-Nummern selbst zu kontrollieren, was sich zuletzt etwa an dem Videolan-Projekt gezeigt hat. Zumindest für jene Projekte, die die Code-Hosting- und Entwicklungsplattform Github verwenden, könnte dies künftig einfacher werden, denn Github darf künftig selbst CVE-Nummern vergeben.

Stellenmarkt
  1. Majorel Berlin GmbH, Berlin (Home-Office)
  2. WDR mediagroup GmbH, Köln

Genutzt werden soll dies für die in den Diensten integrierten Maintainer Security Advisories. Darüber können Code-Betreuer in zunächst geschlossenen Gruppen und Issues mögliche Sicherheitslücken diskutieren und eventuelle Warnhinweise für die Nutzer des Codes schreiben. Für diese auf Github derart bearbeiteten Sicherheitslücken können die Beteiligten künftig also auch CVE-Nummern bekommen.

Um das Finden von Sicherheitslücken zu vereinfachen, hat Github außerdem den Dienst Semmle übernommen. Dieser bietet eine semantische Code-Analyse an, mit deren Hilfe Entwickler ihren eigenen Code nach möglicherweise kritischen Schwachstellen durchsuchen können sollen. Wie genau die Technologie von Semmle in den Github-Dienst integriert werden soll, ist jedoch noch nicht ganz klar. Details dazu will das Unternehmen aber zu einem späteren Zeitpunkt bereitstellen.

Um die Sicherheit von Projekten auf der Plattform weiter zu verbessern, hat Github seinen vor fast zwei Jahren vorgestellten Dependency Graph auf PHP erweitert. Damit können in dieser Sprache verfasste Projekte leicht über Sicherheitslücken und verfügbare Updates ihrer Abhängigkeiten informiert werden. Diese Funktion steht unter anderem bereits für Ruby oder Python zur Verfügung.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Anzeige
Top-Angebote
  1. (u. a. Smsung Portable SSD T5 1TB für 111€, LG 65NANO816NA 65 Zoll NanoCell inkl. LG PL7 XBOOM...
  2. 129€ (Bestpreis)
  3. 949,90€ (Bestpreis)
  4. (u. a. Gigabyte GeForce RTX 3080 Gaming OC 10G für 1.199€)

Folgen Sie uns
       


Die Tesla-Baustelle von oben (Januar-November 2020)

Wir haben den Fortschritt in Grünheide dokumentiert.

Die Tesla-Baustelle von oben (Januar-November 2020) Video aufrufen
Blackwidow V3 im Test: Razers Tastaturklassiker mit dem Ping
Blackwidow V3 im Test
Razers Tastaturklassiker mit dem Ping

Die neue Version der Blackwidow mit Razers eigenen Klickschaltern ist eine grundsolide Tastatur mit tollen Keycaps - der metallische Nachhall der Switches ist allerdings gewöhnungsbedürftig.
Ein Test von Tobias Költzsch

  1. Gaming-Notebook Razer Blade 15 mit Geforce RTX 3080 und gestecktem RAM
  2. Project Brooklyn Razer zeigt skurrilen Gaming-Stuhl mit ausrollbarem OLED
  3. Tomahawk Gaming Desktop Razers winziger Gaming-PC erhält Geforce RTX 3080

Sprachsteuerung mit Apple Music im Test: Es funktioniert zu selten gut
Sprachsteuerung mit Apple Music im Test
Es funktioniert zu selten gut

Eigentlich sollen smarte Lautsprecher den Musikkonsum auf Zuruf besonders bequem machen. Aber die Realität sieht ganz anders aus.
Ein Test von Ingo Pakalski

  1. Streaming Apple Music kommt auf Google-Lautsprecher
  2. Internetradio Apple kündigt Apple Music 1 an und bringt zwei neue Sender

Laschet, Merz, Röttgen: Mit digitalem Bullshit-Bingo zum CDU-Vorsitz
Laschet, Merz, Röttgen
Mit digitalem Bullshit-Bingo zum CDU-Vorsitz

Die CDU wählt am Wochenende einen neuen Vorsitzenden. Merz, Laschet und Röttgens Chefstrategin Demuth haben bei Netzpolitik noch einiges aufzuholen.
Ein IMHO von Friedhelm Greis

  1. Digitale Abstimmung Armin Laschet ist neuer CDU-Vorsitzender
  2. Netzpolitik Rechte Community-Webseite Voat macht Schluss

    •  /