Code-Hosting: Github vergibt CVE-Nummern und übernimmt Analyse-Anbieter

Die Code-Hosting- und Entwicklungsplattform Github darf künftig CVE-Nummern vergeben. Dank einer Übernahme wird außerdem wohl die Suche nach Sicherheitslücken im Code vereinfacht und Github zeigt Sicherheitswarnungen für PHP.

Artikel veröffentlicht am ,
Dank Github soll das Absichern von Code künftig noch einfacher werden.
Dank Github soll das Absichern von Code künftig noch einfacher werden. (Bild: Github)

Viele Open-Source-Projekte haben Probleme, die Vergabe von CVE-Nummern selbst zu kontrollieren, was sich zuletzt etwa an dem Videolan-Projekt gezeigt hat. Zumindest für jene Projekte, die die Code-Hosting- und Entwicklungsplattform Github verwenden, könnte dies künftig einfacher werden, denn Github darf künftig selbst CVE-Nummern vergeben.

Stellenmarkt
  1. Applikationsverantwortlicher für IT-Fachverfahren (m/w/d)
    operational services GmbH & Co. KG, Nürnberg
  2. SAP Logistik Berater (m/w/x) - SAP PP, MM, EWM, QM, SD
    über duerenhoff GmbH, Würzburg
Detailsuche

Genutzt werden soll dies für die in den Diensten integrierten Maintainer Security Advisories. Darüber können Code-Betreuer in zunächst geschlossenen Gruppen und Issues mögliche Sicherheitslücken diskutieren und eventuelle Warnhinweise für die Nutzer des Codes schreiben. Für diese auf Github derart bearbeiteten Sicherheitslücken können die Beteiligten künftig also auch CVE-Nummern bekommen.

Um das Finden von Sicherheitslücken zu vereinfachen, hat Github außerdem den Dienst Semmle übernommen. Dieser bietet eine semantische Code-Analyse an, mit deren Hilfe Entwickler ihren eigenen Code nach möglicherweise kritischen Schwachstellen durchsuchen können sollen. Wie genau die Technologie von Semmle in den Github-Dienst integriert werden soll, ist jedoch noch nicht ganz klar. Details dazu will das Unternehmen aber zu einem späteren Zeitpunkt bereitstellen.

Um die Sicherheit von Projekten auf der Plattform weiter zu verbessern, hat Github seinen vor fast zwei Jahren vorgestellten Dependency Graph auf PHP erweitert. Damit können in dieser Sprache verfasste Projekte leicht über Sicherheitslücken und verfügbare Updates ihrer Abhängigkeiten informiert werden. Diese Funktion steht unter anderem bereits für Ruby oder Python zur Verfügung.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Aktuell auf der Startseite von Golem.de
Next Generation wird 35
Der Goldstandard für Star Trek

Mit Next Generation wollte Paramount den Erfolg der ursprünglichen Star-Trek-Serie nutzen - und schuf dabei eine, die das Original am Ende überstrahlte.
Von Tobias Költzsch

Next Generation wird 35: Der Goldstandard für Star Trek
Artikel
  1. Berufsschule für die IT-Branche: Leider nicht mal ausreichend
    Berufsschule für die IT-Branche
    Leider nicht mal "ausreichend"

    Lehrmaterial wie aus einem Schüleralbtraum, ein veralteter Rahmenlehrplan und nette Lehrer, denen aber die Praxis fehlt - mein Fazit aus drei Jahren als Berufsschullehrer.
    Ein Erfahrungsbericht von Rene Koch

  2. Ukrainekrieg: Meta stoppt ausgefeilte russische Desinformationskampagne
    Ukrainekrieg
    Meta stoppt ausgefeilte russische Desinformationskampagne

    Gefakte Webseiten deutscher Medien machen Stimmung gegen die Russland-Sanktionen. Die falschen Artikel wurden über soziale Medien verbreitet.

  3. Alice Eviation Aircraft: Elektrisches Flugzeug hebt zu seinem Jungfernflug ab
    Alice Eviation Aircraft
    Elektrisches Flugzeug hebt zu seinem Jungfernflug ab

    Das erste vollelektrische Pendlerflugzeug hat erfolgreich seinen Jungfernflug in den USA absolviert. DHL hat die Cargo-Version bestellt.

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • Jetzt PS5-Verkauf bei Amazon • Viewsonic Curved 27" FHD 240 Hz günstig wie nie: 179,90€ • MindStar (Gigabyte RTX 3060 Ti 499€, ASRock RX 6800 579€) • AMD Ryzen 7000 jetzt bestellbar • Alternate (Kingston Fury DDR5-5600 16GB 96,90€) [Werbung]
    •  /