Security: Github informiert über Malware im Open-Source-Ökosystem

Nicht nur Sicherheitslücken machen Open-Source-Software anfällig. Auch Malware bereitet viele Probleme, die Github jetzt sammeln möchte.

Artikel veröffentlicht am ,
Github warnt künftig auch vor Malware.
Github warnt künftig auch vor Malware. (Bild: Joey Banks/Unsplash)

Die Vorgehensweise zur koordinierten Information über Sicherheitslücken in Software ist über Jahrzehnte erprobt und etabliert: Wird eine Sicherheitslücke gefunden, erhält diese idealerweise eine CVE-Nummer und kann darüber verfolgt werden. Github informiert so über eine Datenbank direkt betroffene Entwickler. Bei Malware-Kampagnen sei dies aber nicht so direkt möglich, was der Code-Hoster nun ändern möchte.

Stellenmarkt
  1. Service Manager AppOps (m/w/d)
    operational services GmbH & Co. KG, Wolfsburg, Berlin, Frankfurt
  2. 1st and 2nd Level Support Specialist (m/w/d)
    BCG Platinion, München
Detailsuche

In der Ankündigung dazu heißt es: "Kriminelle versuchen, bösartige Software, bekannt als Malware, in Open-Source-Software einzuschleusen. Es kann schwierig sein, Details über Malware nachzuverfolgen, da Malware normalerweise entfernt wird und nicht für den üblichen Offenlegungsprozess geeignet ist, bei dem den Schwachstellen IDs zugewiesen werden."

Eigenen Angaben zufolge gelingt es Github selbst immer wieder, Malware sowie Versuche, diese in Code einzuschleusen, aufzufinden. Dies geschehe über automatisierte Scans, eigene Sicherheitsforschung oder das Entdecken der Malware über Dritte aus der Security-Community. Wird Malware durch den Dienst erkannt und entfernt, soll dies künftig auf der Github-Plattform über die Advisory Database nachvollzogen werden können.

Nutzer, deren Projekte von der fraglichen Malware betroffen sein könnten, will Github außerdem direkt über das Werkzeug Dependabot informieren. Dieses Werkzeug hat Github vor mehr als drei Jahren übernommen. Es war eigentlich dazu gedacht, Nutzer über Neuigkeiten in den Abhängigkeiten ihrer Projekte zu informieren, was dabei helfen soll, nicht den Überblick zu verlieren und die Abhängigkeiten aktuell zu halten. Github hat dies um die eigenen Sicherheitswarnungen erweitert und nun auch um die Malware-Warnungen.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Aktuell auf der Startseite von Golem.de
SFConservancy
Open-Source-Entwickler sollen Github wegen Copilot verlassen

Ähnlich wie schon vor Jahrzehnten mit Sourceforge sollen Open-Source-Projekte nun auch Github verlassen.

SFConservancy: Open-Source-Entwickler sollen Github wegen Copilot verlassen
Artikel
  1. Wärmeversorgung: Berlin baut Thermoskanne gegen Gasnotstand
    Wärmeversorgung
    Berlin baut Thermoskanne gegen Gasnotstand

    Der Versorger Vattenfall baut in Berlin einen riesigen Warmwasserspeicher, um Häuser im Winter heizen zu können. Das könnte beim möglichen Gasnotstand helfen.

  2. Wilhelm.tel: Das kann die Telekom gar nicht so schnell nachmachen
    Wilhelm.tel
    Das kann die Telekom gar nicht so schnell nachmachen

    Der streitbare Wilhelm.tel-Chef Theo Weirich hat seine Infrastruktur für die Telekom geöffnet. Damit werde das eigene FTTH-Netz aber nicht entwertet.

  3. Chrome OS Flex: Das Apple Chromebook
    Chrome OS Flex
    Das Apple Chromebook

    Ein zehn Jahre altes Notebook lässt sich mit Chrome OS Flex wieder flott machen. Wir haben Googles Betriebssystem ausprobiert und waren begeistert.
    Ein Erfahrungsbericht von Martin Wolf

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • MSI RTX 3080 12GB günstig wie nie: 949€ • AMD Ryzen 7 günstig wie nie: 259€ • Der beste 2.000€-Gaming-PC • Cooler Master 34" UWQHD 144 Hz günstig wie nie: 467,85€ • Asus RX 6900 XT OC günstig wie nie: 1.049€ • Mindstar (Gigabyte RTX 3060 399€) • Galaxy Watch3 45 mm 119€ [Werbung]
    •  /