Projekthoster: Github zeigt Sicherheitswarnungen für Projektabhängigkeiten

Vor wenigen Wochen hat der Projekthoster Github ein Werkzeug vorgestellt, das die Abhängigkeiten eines Projekts besser darstellen soll. Das Konzept wird nun um Sicherheitshinweise und Warnungen erweitert, was die Pflege deutlich erleichtern sollte.

Artikel veröffentlicht am ,
Github warnt vor Sicherheitslücken in Abhängigkeiten.
Github warnt vor Sicherheitslücken in Abhängigkeiten. (Bild: Github)

Mit dem sogenannten Dependency Graph steht auf der Quellcode-Hostingseite Github ein Werkzeug bereit, das es Entwicklern deutlich vereinfachen soll, einen Überblick über die Abhängigkeiten ihrer eigenen Projekte zu behalten. Dieses für viele vermutlich sehr hilfreiche Konzept erweitert Github nun um Warnhinweise zu bekannten Sicherheitslücken und ähnlichen Angriffsvektoren für eben jene Abhängigkeiten.

Stellenmarkt
  1. Software Test Manager (m/w/d)
    afb Application Services AG, München, Dresden, Magdeburg, Görlitz
  2. Test & Quality Manager (m/w/d)
    Vodafone GmbH, Düsseldorf, Unterföhring
Detailsuche

Nutzer, die den Dependency Graph aktiviert haben, bekommen allerdings nicht nur die eigentlichen Hinweise angezeigt. Github versucht vielmehr, seinen Nutzern auch direkt mögliche Lösungsvorschläge zum Schließen der entsprechenden Lücken anzubieten. Dabei werden üblicherweise Updates für die betroffenen Abhängigkeiten vorgeschlagen. Sofern eine bekannte sichere Version existiert, wird diese ebenfalls hervorgehoben.

Für öffentliche Repositorys ist diese Funktion künftig standardmäßig aktiviert, bei privaten Repositorys müssen deren Betreuer diese zunächst noch selbst aktivieren. Werden die neuen Warnhinweise genutzt, werden standardmäßig die Admins der Repositorys über die Sicherheitslücken informiert. Es lassen sich aber ebenso auch andere Gruppen oder Personen als Empfänger der Sicherheitswarnungen einstellen.

Grundlage der Warnungen sind offenbar CVE-IDs. Github ist sich aber darüber im Klaren, dass diese Nummern keine hinreichenden Informationen bieten und es auch öffentlich bekannte Sicherheitslücken mit entsprechenden Fixes gibt, die keine CVE-Nummer haben. Der Projekthoster will aber daran arbeiten, Letztere zu erkennen und Nutzer auch auf diese hinweisen zu können. Genutzt werden kann der Zusatzdienst mit den Warnhinweisen bisher nur für jene Projekte, für die der Dependency Graph überhaupt verfügbar ist. Das umfasst derzeit Projekte, die die Programmiersprachen Ruby und Javascript verwenden. Das System soll im kommenden Jahr um die Unterstützung für Python-Projekte erweitert werden.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Aktuell auf der Startseite von Golem.de
Desktop-Betriebssystem
Apple MacOS Monterey mit neuem Safari und Fokus-Funktion

Apple hat die finale Version seines Mac-Betriebssystems MacOS Monterey veröffentlicht. Dabei sind ein neuer Safari-Browser und eine Konzentrationsfunktion.

Desktop-Betriebssystem: Apple MacOS Monterey mit neuem Safari und Fokus-Funktion
Artikel
  1. Pixel 6 und 6 Pro im Test: Google hat es endlich geschafft
    Pixel 6 und 6 Pro im Test
    Google hat es endlich geschafft

    Das Pixel 6 und Pixel 6 Pro werden endlich Googles Rang als Android-Macher gerecht: Die Smartphones bieten starke Hardware und sinnvolle Software.
    Ein Test von Tobias Költzsch

  2. Schrems-II-Urteil: Dax-Chefs in großer Sorge wegen US-Cloud-Risiken
    Schrems-II-Urteil
    Dax-Chefs in "großer Sorge" wegen US-Cloud-Risiken

    Der Chef von Telefónica, Facebooks Europachefin und der SAP-Finanzvorstand wollen wieder rechtssicher Daten mit den USA austauschen können.

  3. 20 Jahre Windows XP: Der letzte XP-Fan
    20 Jahre Windows XP
    Der letzte XP-Fan

    Windows XP wird 20 Jahre alt - und nur wenige nutzen es noch täglich. Golem.de hat einen dieser Anwender besucht.
    Ein Interview von Martin Wolf

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • Bosch Professional günstiger • Punkte sammeln bei MM für Club-Mitglieder: 1.000 Punkte geschenkt • Alternate (u. a. Apacer 1TB SATA 86,90€ & Team Group 1TB PCIe 4.0 159,90€) • Echo Show 8 (1. Gen.) 64,99€ • Halloween Sale bei Gamesplanet • Smart Home von Eufy günstiger [Werbung]
    •  /