• IT-Karriere:
  • Services:

Projekthoster: Github zeigt Sicherheitswarnungen für Projektabhängigkeiten

Vor wenigen Wochen hat der Projekthoster Github ein Werkzeug vorgestellt, das die Abhängigkeiten eines Projekts besser darstellen soll. Das Konzept wird nun um Sicherheitshinweise und Warnungen erweitert, was die Pflege deutlich erleichtern sollte.

Artikel veröffentlicht am ,
Github warnt vor Sicherheitslücken in Abhängigkeiten.
Github warnt vor Sicherheitslücken in Abhängigkeiten. (Bild: Github)

Mit dem sogenannten Dependency Graph steht auf der Quellcode-Hostingseite Github ein Werkzeug bereit, das es Entwicklern deutlich vereinfachen soll, einen Überblick über die Abhängigkeiten ihrer eigenen Projekte zu behalten. Dieses für viele vermutlich sehr hilfreiche Konzept erweitert Github nun um Warnhinweise zu bekannten Sicherheitslücken und ähnlichen Angriffsvektoren für eben jene Abhängigkeiten.

Stellenmarkt
  1. Bundesnachrichtendienst, Berlin
  2. Schaeffler Technologies AG & Co. KG, Herzogenaurach

Nutzer, die den Dependency Graph aktiviert haben, bekommen allerdings nicht nur die eigentlichen Hinweise angezeigt. Github versucht vielmehr, seinen Nutzern auch direkt mögliche Lösungsvorschläge zum Schließen der entsprechenden Lücken anzubieten. Dabei werden üblicherweise Updates für die betroffenen Abhängigkeiten vorgeschlagen. Sofern eine bekannte sichere Version existiert, wird diese ebenfalls hervorgehoben.

Für öffentliche Repositorys ist diese Funktion künftig standardmäßig aktiviert, bei privaten Repositorys müssen deren Betreuer diese zunächst noch selbst aktivieren. Werden die neuen Warnhinweise genutzt, werden standardmäßig die Admins der Repositorys über die Sicherheitslücken informiert. Es lassen sich aber ebenso auch andere Gruppen oder Personen als Empfänger der Sicherheitswarnungen einstellen.

Grundlage der Warnungen sind offenbar CVE-IDs. Github ist sich aber darüber im Klaren, dass diese Nummern keine hinreichenden Informationen bieten und es auch öffentlich bekannte Sicherheitslücken mit entsprechenden Fixes gibt, die keine CVE-Nummer haben. Der Projekthoster will aber daran arbeiten, Letztere zu erkennen und Nutzer auch auf diese hinweisen zu können. Genutzt werden kann der Zusatzdienst mit den Warnhinweisen bisher nur für jene Projekte, für die der Dependency Graph überhaupt verfügbar ist. Das umfasst derzeit Projekte, die die Programmiersprachen Ruby und Javascript verwenden. Das System soll im kommenden Jahr um die Unterstützung für Python-Projekte erweitert werden.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Anzeige
Spiele-Angebote
  1. (u. a. Rage 2 für 11€, The Elder Scrolls V: Skyrim Special Edition für 11,99€, Doom Eternal...
  2. 44,49€

Gromran 19. Nov 2017

Jupp, das sind die, die selbst in Java/C# nur Spagetticode hinbekommen, wenn überhaupt.


Folgen Sie uns
       


LG Gram 14 (14Z90N) im Test

Das LG Gram 14 ist weniger als 1 kg leicht und kann trotzdem durch lange Akkulaufzeit überzeugen. Das Deutschlanddebüt des Geräts ist gelungen.

LG Gram 14 (14Z90N) im Test Video aufrufen
    •  /