Abo
  • Services:

Projekthoster: Github zeigt Sicherheitswarnungen für Projektabhängigkeiten

Vor wenigen Wochen hat der Projekthoster Github ein Werkzeug vorgestellt, das die Abhängigkeiten eines Projekts besser darstellen soll. Das Konzept wird nun um Sicherheitshinweise und Warnungen erweitert, was die Pflege deutlich erleichtern sollte.

Artikel veröffentlicht am ,
Github warnt vor Sicherheitslücken in Abhängigkeiten.
Github warnt vor Sicherheitslücken in Abhängigkeiten. (Bild: Github)

Mit dem sogenannten Dependency Graph steht auf der Quellcode-Hostingseite Github ein Werkzeug bereit, das es Entwicklern deutlich vereinfachen soll, einen Überblick über die Abhängigkeiten ihrer eigenen Projekte zu behalten. Dieses für viele vermutlich sehr hilfreiche Konzept erweitert Github nun um Warnhinweise zu bekannten Sicherheitslücken und ähnlichen Angriffsvektoren für eben jene Abhängigkeiten.

Stellenmarkt
  1. SCHOTT AG, Mainz
  2. KfW Bankengruppe, Frankfurt am Main

Nutzer, die den Dependency Graph aktiviert haben, bekommen allerdings nicht nur die eigentlichen Hinweise angezeigt. Github versucht vielmehr, seinen Nutzern auch direkt mögliche Lösungsvorschläge zum Schließen der entsprechenden Lücken anzubieten. Dabei werden üblicherweise Updates für die betroffenen Abhängigkeiten vorgeschlagen. Sofern eine bekannte sichere Version existiert, wird diese ebenfalls hervorgehoben.

Für öffentliche Repositorys ist diese Funktion künftig standardmäßig aktiviert, bei privaten Repositorys müssen deren Betreuer diese zunächst noch selbst aktivieren. Werden die neuen Warnhinweise genutzt, werden standardmäßig die Admins der Repositorys über die Sicherheitslücken informiert. Es lassen sich aber ebenso auch andere Gruppen oder Personen als Empfänger der Sicherheitswarnungen einstellen.

Grundlage der Warnungen sind offenbar CVE-IDs. Github ist sich aber darüber im Klaren, dass diese Nummern keine hinreichenden Informationen bieten und es auch öffentlich bekannte Sicherheitslücken mit entsprechenden Fixes gibt, die keine CVE-Nummer haben. Der Projekthoster will aber daran arbeiten, Letztere zu erkennen und Nutzer auch auf diese hinweisen zu können. Genutzt werden kann der Zusatzdienst mit den Warnhinweisen bisher nur für jene Projekte, für die der Dependency Graph überhaupt verfügbar ist. Das umfasst derzeit Projekte, die die Programmiersprachen Ruby und Javascript verwenden. Das System soll im kommenden Jahr um die Unterstützung für Python-Projekte erweitert werden.



Anzeige
Top-Angebote
  1. 99,00€
  2. 56,99€
  3. 65,99€
  4. 54,99€

Gromran 19. Nov 2017

Jupp, das sind die, die selbst in Java/C# nur Spagetticode hinbekommen, wenn überhaupt.


Folgen Sie uns
       


Besuch im Testturm Rottweil von Thyssen-Krupp - Bericht

Thyssen-Krupp testet in Baden-Württemberg in einen Turm einen revolutionären Aufzug, der ohne Seile auskommt.

Besuch im Testturm Rottweil von Thyssen-Krupp - Bericht Video aufrufen
Google: Stadia tritt gegen Gaming-PCs, Playstation und Xbox an
Google
Stadia tritt gegen Gaming-PCs, Playstation und Xbox an

GDC 2019 Google streamt nicht nur so ein bisschen - stattdessen tritt der Konzern mit Stadia in direkte Konkurrenz zur etablierten Spielebranche. Entwickler können für ihre Games mehr Teraflops verwenden als auf der PS4 Pro und der Xbox One X zusammen.
Von Peter Steinlechner


    Tom Clancy's The Division 2 im Test: Richtig guter Loot-Shooter
    Tom Clancy's The Division 2 im Test
    Richtig guter Loot-Shooter

    Ubisofts neuer Online-Shooter beweist, dass komplexe Live-Spiele durchaus von Anfang an überzeugen können. Bis auf die schwache Geschichte und Gegner, denen selbst Dauerbeschuss kaum etwas anhaben kann, ist The Division 2 ein spektakuläres Spiel.
    Von Jan Bojaryn

    1. Netztest Connect Netztest urteilt trotz Funklöchern zweimal sehr gut
    2. Netztest Chip verteilt viel Lob trotz Funklöchern

    Überwachung: Wenn die Firma heimlich ihre Mitarbeiter ausspioniert
    Überwachung
    Wenn die Firma heimlich ihre Mitarbeiter ausspioniert

    Videokameras, Wanzen, GPS-Tracker, Keylogger - es gibt viele Möglichkeiten, mit denen Firmen Mitarbeiter kontrollieren können. Nicht wenige tun das auch und werden dafür mitunter bestraft. Manchmal kommen sie aber selbst mit heimlichen Überwachungsaktionen durch. Es kommt auf die Gründe an.
    Von Harald Büring

    1. Österreich Bundesheer soll mehr Daten bekommen
    2. Datenschutz Chinesische Kameraüberwachung hält Bus-Werbung für Fußgänger
    3. Überwachung Infosystem über Funkzellenabfragen in Berlin gestartet

      •  /