Abo
  • IT-Karriere:

Code-Hosting: Github vergibt CVE-Nummmern und übernimmt Analyse-Anbieter

Die Code-Hosting- und Entwicklungsplattform Github darf künftig CVE-Nummern vergeben. Dank einer Übernahme wird außerdem wohl die Suche nach Sicherheitslücken im Code vereinfacht und Github zeigt Sicherheitswarnungen für PHP.

Artikel veröffentlicht am ,
Dank Github soll das Absichern von Code künftig noch einfacher werden.
Dank Github soll das Absichern von Code künftig noch einfacher werden. (Bild: Github)

Viele Open-Source-Projekte haben Probleme, die Vergabe von CVE-Nummern selbst zu kontrollieren, was sich zuletzt etwa an dem Videolan-Projekt gezeigt hat. Zumindest für jene Projekte, die die Code-Hosting- und Entwicklungsplattform Github verwenden, könnte dies künftig einfacher werden, denn Github darf künftig selbst CVE-Nummern vergeben.

Stellenmarkt
  1. Niels-Stensen-Kliniken - Marienhospital Osnabrück GmbH, Osnabrück
  2. SSI SCHÄFER Automation GmbH, Giebelstadt bei Würzburg, Obertshausen

Genutzt werden soll dies für die in den Diensten integrierten Maintainer Security Advisories. Darüber können Code-Betreuer in zunächst geschlossenen Gruppen und Issues mögliche Sicherheitslücken diskutieren und eventuelle Warnhinweise für die Nutzer des Codes schreiben. Für diese auf Github derart bearbeiteten Sicherheitslücken können die Beteiligten künftig also auch CVE-Nummern bekommen.

Um das Finden von Sicherheitslücken zu vereinfachen, hat Github außerdem den Dienst Semmle übernommen. Dieser bietet eine semantische Code-Analyse an, mit deren Hilfe Entwickler ihren eigenen Code nach möglicherweise kritischen Schwachstellen durchsuchen können sollen. Wie genau die Technologie von Semmle in den Github-Dienst integriert werden soll, ist jedoch noch nicht ganz klar. Details dazu will das Unternehmen aber zu einem späteren Zeitpunkt bereitstellen.

Um die Sicherheit von Projekten auf der Plattform weiter zu verbessern, hat Github seinen vor fast zwei Jahren vorgestellten Dependency Graph auf PHP erweitert. Damit können in dieser Sprache verfasste Projekte leicht über Sicherheitslücken und verfügbare Updates ihrer Abhängigkeiten informiert werden. Diese Funktion steht unter anderem bereits für Ruby oder Python zur Verfügung.



Anzeige
Top-Angebote
  1. (aktuell u. a. X Rocker Shadow 2.0 Floor Rocker Gaming Stuhl in verschiedenen Farben je 64,90€)
  2. 337,00€
  3. (u. a. HP 34f Curved Monitor für 389,00€, Acer 32 Zoll Curved Monitor für 222,00€, Seasonic...
  4. 58,90€

Folgen Sie uns
       


Lenovo Ideapad S540 - Hands on (Ifa 2019)

Das Ideapad S540 hat ein fast unsichtbares Touchpad, das einige Schwierigkeiten bereitet. Doch ist das Gerät trotzdem ein gutes Ryzen-Notebook? Golem.de schaut es sich an.

Lenovo Ideapad S540 - Hands on (Ifa 2019) Video aufrufen
WLAN-Kameras ausgeknipst: Wer hat die Winkekatze geklaut?
WLAN-Kameras ausgeknipst
Wer hat die Winkekatze geklaut?

Weg ist die Winkekatze - und keine unserer vier Überwachungskameras hat den Dieb gesehen. Denn WLAN-Cams von Abus, Nest, Yi Technology und Arlo lassen sich ganz einfach ausschalten.
Von Moritz Tremmel

  1. Wi-Fi 6 Router und Clients für den neuen WLAN-Standard
  2. Wi-Fi 6 und 802.11ax Was bringt der neue WLAN-Standard?
  3. Brandenburg Vodafone errichtet 1.200 kostenlose WLAN-Hotspots

IT-Sicherheit: Auch kleine Netze brauchen eine Firewall
IT-Sicherheit
Auch kleine Netze brauchen eine Firewall

Unternehmen mit kleinem Geldbeutel verzichten häufig auf eine Firewall. Das sollten sie aber nicht tun, wenn ihnen die Sicherheit ihres Netzwerks wichtig ist.
Von Götz Güttich

  1. Anzeige Wo Daten wirklich sicher liegen
  2. Erasure Coding Das Ende von Raid kommt durch Mathematik
  3. Endpoint Security IT-Sicherheit ist ein Cocktail mit vielen Zutaten

Gemini Man: Überflüssiges Klonexperiment
Gemini Man
Überflüssiges Klonexperiment

Am 3. Oktober kommt mit Gemini Man ein ambitioniertes Projekt in die deutschen Kinos: Mit HFR-Projektion in 60 Bildern pro Sekunde und Will Smith, der gegen sein digital verjüngtes Ebenbild kämpft, betreibt der Actionfilm technisch viel Aufwand. Das Seherlebnis ist jedoch bestenfalls komisch.
Von Daniel Pook

  1. Filmkritik Apollo 11 Echte Mondlandung als packende Kinozeitreise

    •  /