Security: Github informiert über Malware im Open-Source-Ökosystem

Nicht nur Sicherheitslücken machen Open-Source-Software anfällig. Auch Malware bereitet viele Probleme, die Github jetzt sammeln möchte.

Artikel veröffentlicht am ,
Github warnt künftig auch vor Malware.
Github warnt künftig auch vor Malware. (Bild: Joey Banks/Unsplash)

Die Vorgehensweise zur koordinierten Information über Sicherheitslücken in Software ist über Jahrzehnte erprobt und etabliert: Wird eine Sicherheitslücke gefunden, erhält diese idealerweise eine CVE-Nummer und kann darüber verfolgt werden. Github informiert so über eine Datenbank direkt betroffene Entwickler. Bei Malware-Kampagnen sei dies aber nicht so direkt möglich, was der Code-Hoster nun ändern möchte.

Stellenmarkt
  1. Natural Language Processing Specialist (m/f / diverse)
    Continental AG, Berlin
  2. Security Engineer Public Key Infrastructure (PKI) (m/w/d)
    Westnetz GmbH, verschiedene Standorte
Detailsuche

In der Ankündigung dazu heißt es: "Kriminelle versuchen, bösartige Software, bekannt als Malware, in Open-Source-Software einzuschleusen. Es kann schwierig sein, Details über Malware nachzuverfolgen, da Malware normalerweise entfernt wird und nicht für den üblichen Offenlegungsprozess geeignet ist, bei dem den Schwachstellen IDs zugewiesen werden."

Eigenen Angaben zufolge gelingt es Github selbst immer wieder, Malware sowie Versuche, diese in Code einzuschleusen, aufzufinden. Dies geschehe über automatisierte Scans, eigene Sicherheitsforschung oder das Entdecken der Malware über Dritte aus der Security-Community. Wird Malware durch den Dienst erkannt und entfernt, soll dies künftig auf der Github-Plattform über die Advisory Database nachvollzogen werden können.

Nutzer, deren Projekte von der fraglichen Malware betroffen sein könnten, will Github außerdem direkt über das Werkzeug Dependabot informieren. Dieses Werkzeug hat Github vor mehr als drei Jahren übernommen. Es war eigentlich dazu gedacht, Nutzer über Neuigkeiten in den Abhängigkeiten ihrer Projekte zu informieren, was dabei helfen soll, nicht den Überblick zu verlieren und die Abhängigkeiten aktuell zu halten. Github hat dies um die eigenen Sicherheitswarnungen erweitert und nun auch um die Malware-Warnungen.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Aktuell auf der Startseite von Golem.de
LED-Panel und Raspberry Pi
Eine schicke Berlin-Uhr fürs Wohnzimmer

Es braucht nur ein 64x64-LED-Panel und ein bisschen C#-Programmierung, um die Berlin-Uhr auf den Raspberry Pi zu bringen.
Eine Anleitung von Michael Bröde

LED-Panel und Raspberry Pi: Eine schicke Berlin-Uhr fürs Wohnzimmer
Artikel
  1. Ohne Kreditrahmen: Action-Rollenspiele, die besser sind als Diablo Immortal
    Ohne Kreditrahmen
    Action-Rollenspiele, die besser sind als Diablo Immortal

    Enttäuscht von Blizzards Pay-to-Win-Diablo? Diese aktuellen Rollenspiele für Mobile und PC sind die besseren Alternativen.
    Von Rainer Sigl

  2. Aya Neo Next 2: Mit Trackpads und Intels Arc-GPU gegen das Steam Deck
    Aya Neo Next 2
    Mit Trackpads und Intels Arc-GPU gegen das Steam Deck

    Der Aya Neo Next 2 ist mit Trackpads im Stil des Steam Deck ausgestattet. Allerdings soll er mit dedizierter GPU wesentlich schneller sein.

  3. Elektra Trainer: Elektroflugzeug aus Bayern fliegt zum ersten Mal
    Elektra Trainer
    Elektroflugzeug aus Bayern fliegt zum ersten Mal

    Der Elektra Trainer ist eines der wenigen elektrischen Flugzeuge für zwei Personen. Den Jungfernflug absolvierte der Pilot aber solo.

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • LG UltraGear 27" WQHD 165 Hz 299€ • Switch OLED günstig wie nie: 333€ • MindStar (MSI Optix 27" WQHD 165 Hz 249€, MSI RX 6700 XT 499€) • Sony PS5-Controller 56,90€ • Alternate (SSDs & RAM von Kingston) • PNY RTX 3080 12GB günstig wie nie: 929€ • Top-TVs bis 53% Rabatt [Werbung]
    •  /