• IT-Karriere:
  • Services:

Security Lab: Github sucht mit Partnern nach Lücken in Open Source Code

Mit seinem Security-Lab will der Code-Hoster Github künftig aktiv nach Sicherheitslücken in Open Source Code suchen und wird dabei von vielen Unternehmen unterstützt. Für Github-Nutzer soll zudem der Umgang mit Sicherheitslücken einfacher werden.

Artikel veröffentlicht am ,
Github startet sein Security Lab.
Github startet sein Security Lab. (Bild: Github)

Auf seiner Hausmesse Universe hat Code-Hoster Github sein Security Lab angekündigt. Mit dieser Initiative will das Unternehmen aktiv nach Sicherheitslücken in Open Source Software suchen. Dafür hat Github bereits einige Sicherheitsforscher angestellt, die laut der Ankündigung bisher schon mehr als 100 Sicherheitslücken ausgemacht haben. Vergleichbar ist der Ansatz von Github mit ähnlichen Initiativen wie etwa Googles Project Zero.

Stellenmarkt
  1. Deloitte, Hamburg
  2. Bayerisches Landesamt für Steuern, Nürnberg

Github will aber nicht nur mit Vollzeitangestellten nach Sicherheitslücken suchen, die dafür genutzten Werkzeuge sollen auch offen entwickelt werden oder zumindest kostenfrei von anderen genutzt werden können. Den Anfang dabei macht die statische Codeanalyse CodeQL, die das Unternehmen mit dem Dienst Semmle vor wenigen Monaten übernommen hat.

Das Security Lab von Github ist darüber hinaus eine Art Initiative zur branchenweiten Kooperation, da viele Partner an dem Programm teilnehmen. Dazu gehören Sicherheitsfirmen wie IOActive, NCC Group oder auch Trail of Bits, hinzu kommen große Softwarehersteller wie Google, Microsoft, Mozilla oder VMware oder auch der Hardware-Hersteller Intel. Mozilla bietet etwa Bug-Bountys für jene Forscher an, die mit CodeQL Lücken im Firefox-Code finden. Der Browserhersteller selbst nutzt das Werkzeug bereits seit zwei Jahren.

Wie das Unternehmen außerdem bereits angekündigt hat, können Projekte über Github künftig CVE-Nummern erhalten, was nun automatisch für sämtliche Security Advisorys durchgeführt werden kann. Diese Advisorys, also das Erstellen von Warnungen vor Sicherheitslücken und die Veröffentlichung entsprechender Updates, können über geschlossene Gruppen erstellt werden. Die Funktion hat ihre Betaphase verlassen und Github hat den Ablauf dafür in Rücksprache mit Testern verbessert.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Anzeige
Hardware-Angebote
  1. (reduzierte Überstände, Restposten & Co.)

treysis 15. Nov 2019 / Themenstart

Keine Ahnung, wie eine Seite, auf der das Neuste vom Neusten programmiert wird, immer...

Kommentieren


Folgen Sie uns
       


Samsungs 49-Zoll-QLED-Gaming-Monitor - Test

Der Samsung CRG9 ist nicht nur durch sein 32:9-Format beeindruckend. Auch die hohe Bildfrequenz und sehr gute Helligkeit ermöglichen ein sehr immersives Gaming und viel Platz für Multitasking.

Samsungs 49-Zoll-QLED-Gaming-Monitor - Test Video aufrufen
Sendmail: Software aus der digitalen Steinzeit
Sendmail
Software aus der digitalen Steinzeit

Ein nichtöffentliches CVS-Repository, FTP-Downloads, defekte Links, Diskussionen übers Usenet: Der Mailserver Sendmail zeigt alle Anzeichen eines problematischen und in der Vergangenheit stehengebliebenen Softwareprojekts.
Eine Analyse von Hanno Böck

  1. Überwachung Tutanota musste E-Mails vor der Verschlüsselung ausleiten
  2. Buffer Overflow Exim-Sicherheitslücke beim Verarbeiten von TLS-Namen
  3. Sicherheitslücke Buffer Overflow in Dovecot-Mailserver

Weltraumsimulation: Die Star-Citizen-Euphorie ist ansteckend
Weltraumsimulation
Die Star-Citizen-Euphorie ist ansteckend

Jubelnde Massen, ehrliche Entwickler und ein 30 Kilogramm schweres Modell des Javelin-Zerstörers: Die Citizencon 2949 hat gezeigt, wie sehr die Community ihr Star Citizen liebt. Auf der anderen Seite reden Entwickler Klartext, statt Marketing-Floskeln zum Besten zu geben. Das steckt an.
Ein IMHO von Oliver Nickel

  1. Theatres of War angespielt Star Citizen wird zu Battlefield mit Raumschiffen
  2. Star Citizen Mit der Carrack ins neue Sonnensystem
  3. Star Citizen Squadron 42 wird noch einmal verschoben

Echo Dot mit Uhr und Nest Mini im Test: Amazon hängt Google ab
Echo Dot mit Uhr und Nest Mini im Test
Amazon hängt Google ab

Amazon und Google haben ihre kompakten smarten Lautsprecher überarbeitet. Wir haben den Nest Mini mit dem neuen Echo Dot mit Uhr verglichen. Google hat es sichtlich schwer, konkurrenzfähig zu Amazon zu bleiben.
Ein Test von Ingo Pakalski

  1. Digitale Assistenten Amazon verkauft dreimal mehr smarte Lautsprecher als Google
  2. Googles Hardware-Chef Osterloh weist Besuch auf smarte Lautsprecher hin
  3. Telekom Smart Speaker im Test Der smarte Lautsprecher, der mit zwei Zungen spricht

    •  /