Security: Github informiert über Malware im Open-Source-Ökosystem

Die Vorgehensweise zur koordinierten Information über Sicherheitslücken in Software ist über Jahrzehnte erprobt und etabliert: Wird eine Sicherheitslücke gefunden, erhält diese idealerweise eine CVE-Nummer und kann darüber verfolgt werden. Github informiert so über eine Datenbank direkt betroffene Entwickler. Bei Malware-Kampagnen sei dies aber nicht so direkt möglich, was der Code-Hoster nun ändern möchte.

In der Ankündigung dazu heißt es: "Kriminelle versuchen, bösartige Software, bekannt als Malware, in Open-Source-Software einzuschleusen. Es kann schwierig sein, Details über Malware nachzuverfolgen, da Malware normalerweise entfernt wird und nicht für den üblichen Offenlegungsprozess geeignet ist, bei dem den Schwachstellen IDs zugewiesen werden."

Eigenen Angaben zufolge gelingt es Github selbst immer wieder, Malware sowie Versuche, diese in Code einzuschleusen, aufzufinden. Dies geschehe über automatisierte Scans, eigene Sicherheitsforschung oder das Entdecken der Malware über Dritte aus der Security-Community. Wird Malware durch den Dienst erkannt und entfernt, soll dies künftig auf der Github-Plattform über die Advisory Database nachvollzogen werden können.

Nutzer, deren Projekte von der fraglichen Malware betroffen sein könnten, will Github außerdem direkt über das Werkzeug Dependabot informieren. Dieses Werkzeug hat Github vor mehr als drei Jahren übernommen. Es war eigentlich dazu gedacht, Nutzer über Neuigkeiten in den Abhängigkeiten ihrer Projekte zu informieren, was dabei helfen soll, nicht den Überblick zu verlieren und die Abhängigkeiten aktuell zu halten. Github hat dies um die eigenen Sicherheitswarnungen erweitert und nun auch um die Malware-Warnungen.