Abo
  • IT-Karriere:

Projekthoster: Github zeigt Sicherheitswarnungen für Projektabhängigkeiten

Vor wenigen Wochen hat der Projekthoster Github ein Werkzeug vorgestellt, das die Abhängigkeiten eines Projekts besser darstellen soll. Das Konzept wird nun um Sicherheitshinweise und Warnungen erweitert, was die Pflege deutlich erleichtern sollte.

Artikel veröffentlicht am ,
Github warnt vor Sicherheitslücken in Abhängigkeiten.
Github warnt vor Sicherheitslücken in Abhängigkeiten. (Bild: Github)

Mit dem sogenannten Dependency Graph steht auf der Quellcode-Hostingseite Github ein Werkzeug bereit, das es Entwicklern deutlich vereinfachen soll, einen Überblick über die Abhängigkeiten ihrer eigenen Projekte zu behalten. Dieses für viele vermutlich sehr hilfreiche Konzept erweitert Github nun um Warnhinweise zu bekannten Sicherheitslücken und ähnlichen Angriffsvektoren für eben jene Abhängigkeiten.

Stellenmarkt
  1. THD - Technische Hochschule Deggendorf, Deggendorf
  2. Sky Deutschland GmbH, Unterföhring bei München

Nutzer, die den Dependency Graph aktiviert haben, bekommen allerdings nicht nur die eigentlichen Hinweise angezeigt. Github versucht vielmehr, seinen Nutzern auch direkt mögliche Lösungsvorschläge zum Schließen der entsprechenden Lücken anzubieten. Dabei werden üblicherweise Updates für die betroffenen Abhängigkeiten vorgeschlagen. Sofern eine bekannte sichere Version existiert, wird diese ebenfalls hervorgehoben.

Für öffentliche Repositorys ist diese Funktion künftig standardmäßig aktiviert, bei privaten Repositorys müssen deren Betreuer diese zunächst noch selbst aktivieren. Werden die neuen Warnhinweise genutzt, werden standardmäßig die Admins der Repositorys über die Sicherheitslücken informiert. Es lassen sich aber ebenso auch andere Gruppen oder Personen als Empfänger der Sicherheitswarnungen einstellen.

Grundlage der Warnungen sind offenbar CVE-IDs. Github ist sich aber darüber im Klaren, dass diese Nummern keine hinreichenden Informationen bieten und es auch öffentlich bekannte Sicherheitslücken mit entsprechenden Fixes gibt, die keine CVE-Nummer haben. Der Projekthoster will aber daran arbeiten, Letztere zu erkennen und Nutzer auch auf diese hinweisen zu können. Genutzt werden kann der Zusatzdienst mit den Warnhinweisen bisher nur für jene Projekte, für die der Dependency Graph überhaupt verfügbar ist. Das umfasst derzeit Projekte, die die Programmiersprachen Ruby und Javascript verwenden. Das System soll im kommenden Jahr um die Unterstützung für Python-Projekte erweitert werden.



Anzeige
Spiele-Angebote
  1. 34,99€
  2. (-80%) 6,99€
  3. 2,80€
  4. 4,19€

Gromran 19. Nov 2017

Jupp, das sind die, die selbst in Java/C# nur Spagetticode hinbekommen, wenn überhaupt.


Folgen Sie uns
       


iOS 13 ausprobiert

Apple hat iOS 13 offiziell vorgestellt. Die neue Version des mobilen Betriebssystems bringt unter anderem den Dark Mode sowie zahlreiche Verbesserungen einzelner Apps.

iOS 13 ausprobiert Video aufrufen
Geothermie: Wer auf dem Vulkan wohnt, muss nicht so tief bohren
Geothermie
Wer auf dem Vulkan wohnt, muss nicht so tief bohren

Die hohen Erwartungen haben Geothermie-Kraftwerke bisher nicht erfüllt. Weltweit setzen trotzdem immer mehr Länder auf die Wärme aus der Tiefe - nicht alle haben es dabei leicht.
Ein Bericht von Jan Oliver Löfken

  1. Nachhaltigkeit Jute im Plastik
  2. Nachhaltigkeit Bauen fürs Klima
  3. Autos Elektro, Brennstoffzelle oder Diesel?

Hue Sync: Hue-Effektbeleuchtung dank HDMI-Splitter einfacher nutzbar
Hue Sync
Hue-Effektbeleuchtung dank HDMI-Splitter einfacher nutzbar

Mit Hue Sync können Philips-Hue-Nutzer ihre Lampen passend zu Filmen oder Musik aufleuchten lassen - bisher aber nur recht umständlich über einen PC. Die neue Play HDMI Sync Box ist ein Splitter mit eingebautem Hue-Sync-Controller, an den einfach Konsolen oder Blu-ray-Player angeschlossen werden können.
Ein Hands on von Tobias Költzsch

  1. Signify Kleiner Schalter und Steckdose für Philips Hue
  2. Smart Home Philips-Hue-Leuchtmittel mit Bluetooth
  3. Smart Home Philips Hue mit Außenbewegungsmelder und neuen Außenlampen

Verkehrssicherheit: Die Lehren aus dem tödlichen SUV-Unfall
Verkehrssicherheit
Die Lehren aus dem tödlichen SUV-Unfall

Soll man tonnenschwere SUV aus den Innenstädten verbannen? Oder sollten technische Systeme schärfer in die Fahrzeugsteuerung eingreifen? Nach einem Unfall mit vier Toten in Berlin mangelt es nicht an radikalen Vorschlägen.
Eine Analyse von Friedhelm Greis

  1. Torc Robotics Daimler-Tochter testet selbstfahrende Lkw
  2. Edag Citybot Wandelbares Auto mit Rucksackmodulen gegen Verkehrsprobleme
  3. Tusimple UPS testet automatisiert fahrende Lkw

    •  /