• IT-Karriere:
  • Services:

Projekthoster: Github zeigt Sicherheitswarnungen für Projektabhängigkeiten

Vor wenigen Wochen hat der Projekthoster Github ein Werkzeug vorgestellt, das die Abhängigkeiten eines Projekts besser darstellen soll. Das Konzept wird nun um Sicherheitshinweise und Warnungen erweitert, was die Pflege deutlich erleichtern sollte.

Artikel veröffentlicht am ,
Github warnt vor Sicherheitslücken in Abhängigkeiten.
Github warnt vor Sicherheitslücken in Abhängigkeiten. (Bild: Github)

Mit dem sogenannten Dependency Graph steht auf der Quellcode-Hostingseite Github ein Werkzeug bereit, das es Entwicklern deutlich vereinfachen soll, einen Überblick über die Abhängigkeiten ihrer eigenen Projekte zu behalten. Dieses für viele vermutlich sehr hilfreiche Konzept erweitert Github nun um Warnhinweise zu bekannten Sicherheitslücken und ähnlichen Angriffsvektoren für eben jene Abhängigkeiten.

Stellenmarkt
  1. Hannover Rück SE, Hannover
  2. ZfP Südwürttemberg, Bad Schussenried

Nutzer, die den Dependency Graph aktiviert haben, bekommen allerdings nicht nur die eigentlichen Hinweise angezeigt. Github versucht vielmehr, seinen Nutzern auch direkt mögliche Lösungsvorschläge zum Schließen der entsprechenden Lücken anzubieten. Dabei werden üblicherweise Updates für die betroffenen Abhängigkeiten vorgeschlagen. Sofern eine bekannte sichere Version existiert, wird diese ebenfalls hervorgehoben.

Für öffentliche Repositorys ist diese Funktion künftig standardmäßig aktiviert, bei privaten Repositorys müssen deren Betreuer diese zunächst noch selbst aktivieren. Werden die neuen Warnhinweise genutzt, werden standardmäßig die Admins der Repositorys über die Sicherheitslücken informiert. Es lassen sich aber ebenso auch andere Gruppen oder Personen als Empfänger der Sicherheitswarnungen einstellen.

Grundlage der Warnungen sind offenbar CVE-IDs. Github ist sich aber darüber im Klaren, dass diese Nummern keine hinreichenden Informationen bieten und es auch öffentlich bekannte Sicherheitslücken mit entsprechenden Fixes gibt, die keine CVE-Nummer haben. Der Projekthoster will aber daran arbeiten, Letztere zu erkennen und Nutzer auch auf diese hinweisen zu können. Genutzt werden kann der Zusatzdienst mit den Warnhinweisen bisher nur für jene Projekte, für die der Dependency Graph überhaupt verfügbar ist. Das umfasst derzeit Projekte, die die Programmiersprachen Ruby und Javascript verwenden. Das System soll im kommenden Jahr um die Unterstützung für Python-Projekte erweitert werden.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Anzeige
Spiele-Angebote
  1. 2,49€
  2. (-28%) 17,99€
  3. 52,99€

Gromran 19. Nov 2017

Jupp, das sind die, die selbst in Java/C# nur Spagetticode hinbekommen, wenn überhaupt.


Folgen Sie uns
       


Parksensor von Bosch ausprobiert

Wenn es darum geht, Autofahrer auf freie Parkplätze zu lotsen, lassen sich die Bosch-Sensoren sinnvoll einsetzen.

Parksensor von Bosch ausprobiert Video aufrufen
Cloud Gaming im Test: Leise ruckelt der Stream
Cloud Gaming im Test
Leise ruckelt der Stream

Kurz vor Weihnachten werben Dienste wie Google Stadia und Playstation Now um Kunden - mit noch nicht ganz perfekter Technik. Golem.de hat Cloud Gaming bei mehreren Anbietern ausprobiert und stellt Geschäftsmodelle und Besonderheiten vor.
Von Peter Steinlechner

  1. Apple und Google Die wollen nicht nur spielen
  2. Medienbericht Twitch plant Spielestreaming ab 2020
  3. Spielestreaming Wie archiviert man Games ohne Datenträger?

Radeon RX 5500 (4GB) im Test: AMDs beste 200-Euro-Karte seit Jahren
Radeon RX 5500 (4GB) im Test
AMDs beste 200-Euro-Karte seit Jahren

Mit der Radeon RX 5500 hat AMD endlich wieder eine sparsame und moderne Mittelklasse-Grafikkarte im Angebot. Verglichen mit Nvidias Geforce GTX 1650 Super reicht es zum Patt - aber nicht in allen Bereichen.
Ein Test von Marc Sauter

  1. Workstation-Grafikkarte AMDs Radeon Pro W5700 hat USB-C-Anschluss
  2. Navi-Grafikeinheit Apple bekommt Vollausbau und AMD bringt RX 5300M
  3. Navi-14-Grafikkarte AMD stellt Radeon RX 5500 vor

Videoüberwachung: Kameras sind überall, aber nicht überall erlaubt
Videoüberwachung
Kameras sind überall, aber nicht überall erlaubt

Dass Überwachungskameras nicht legal eingesetzt werden, ist keine Seltenheit. Ob aus Nichtwissen oder mit Absicht: Werden Privatsphäre oder Datenschutz verletzt, gehören die Kameras weg. Doch dazu müssen sie erst mal entdeckt, als legal oder illegal ausgemacht und gemeldet werden.
Von Harald Büring

  1. Nach Attentat Datenschutzbeauftragter kritisiert Hintertüren in Messengern
  2. Australien IT-Sicherheitskonferenz Cybercon lädt Sprecher aus
  3. Spionagesoftware Staatsanwaltschaft ermittelt nach Anzeige gegen Finfisher

    •  /