Original-URL des Artikels: https://www.golem.de/news/entwicklung-github-will-behebung-von-sicherheitsluecken-vereinfachen-1905-141470.html    Veröffentlicht: 23.05.2019 18:45    Kurz-URL: https://glm.io/141470

Entwicklung

Github will Behebung von Sicherheitslücken vereinfachen

Die Funktion zur Sicherheitswarnung von Github wird so erweitert, dass die Plattform auch direkt die Patches zum Einpflegen bereitstellt. Entwickler können Lücken und deren Lösung zudem in geschlossenen Gruppen betreuen.

Der Betreiber der Entwicklerplattform Github will den Umgang mit und vor allem das Beheben von Sicherheitslücken in eigenem Code sowie den vielen Abhängigkeiten für seine Nutzer deutlich vereinfachen. Dazu hat der Anbieter auf seiner Hausmesse Satellite eine Vielzahl neuer Funktionen vorgestellt. Die wohl wichtigste neue Technik in diesem Bereich wird durch die Übernahme und Integration von Dependabot ermöglicht.

Dieses Werkzeug ist eigentlich dazu gedacht, Nutzer über Neuigkeiten in den Abhängigkeiten ihre Projekte zu informieren, was dabei helfen soll, nicht den Überblick zu verlieren und die Abhängigkeiten aktuell zu halten. Diese Funktion soll nun aber auch genutzt werden, um direkt über verfügbare Updates für bekannte Sicherheitslücken zu informieren.

Dazu erstellt der Dependabot automatisch Pull Requests mit den Bug-Fixes, die dann theoretisch direkt eingepflegt werden können. Diese Hilfe soll in den kommenden Monaten automatisch allen Nutzern zur Verfügung gestellt werden, die auch die Sicherheitswarnungen der Plattformen aktiviert haben. Ziel ist es, damit die Zeit zwischen dem Bekanntwerden von Sicherheitslücken und deren Behebung in Projekten möglichst kurz zu halten. Für die Sicherheitswarnungen selbst nutzt Github nun auch den Anbieter Whitesource.

Vor allem mit Blick auf Open-Source-Projekte bietet Github den Entwicklern nun auch einige Angebote, die das Behandeln von möglichen Sicherheitslücken im eigenen Projekt vereinfachen sollen. Dazu gehört, dass in den Repositorys Security-Richtlinien hinterlegt werden, die etwa das Vorgehen beschreibt, wie diese gemeldet werden sollen oder auch an wen.

Für die betroffenen Maintainer oder auch diejenigen Entwickler, die die Fehler gefunden haben, bietet Github zudem künftig eine private Arbeitsumgebung an. Dort kann dann in einer kleinen und klar abgegrenzten Gruppe eine Lücke diskutiert und behoben werden, bevor ein Patch mit entsprechender Ankündigung für alle veröffentlicht wird.  (sg)


Verwandte Artikel:
Entwicklung: Github erlaubt das Sponsern von Open Source   
(23.05.2019, https://glm.io/141460 )
Europäische Union: Anti-Terror-Koordinator fordert Sicherheitslücken in 5G   
(20.05.2019, https://glm.io/141372 )
Defender ATP: Microsofts Virenabwehr plant Selbstschutzfunktion   
(01.04.2019, https://glm.io/140373 )
Programmierung: Wolfram Engine wird kostenfrei für Entwicklung   
(22.05.2019, https://glm.io/141446 )
Suse: Linux bekommt CPU-Frequenzskalierung für Raspberry Pi   
(22.05.2019, https://glm.io/141428 )

© 1997–2019 Golem.de, https://www.golem.de/