/ Software-Entwicklung / Neues GitHub-Feature erkennt sicherheitsanfälligen Code

Neues GitHub-Feature erkennt sicherheitsanfälligen Code

Gerfried Steube on November 18, 2017 - 10:26 pm in Software-Entwicklung

JavaScript- und Ruby-Entwicklern bietet GitHub künftig eine Sicherheitsfunktion, die vor bekannten Schwachstellen in Projektabhängigkeiten warnt. Update-Empfehlungen sind inklusive.

Der Projekthoster GitHub hat das im vergangenen Monat neu eingeführte Feature Dependency Graph um eine Zusatzfunktion erweitert, die Entwickler automatisch auf sicherheitsanfälligen Code in Projektabhängigkeiten hinweisen soll. Wie der Dependency Graph selbst ist es laut GitHub ab sofort fester Bestandteil jedes öffentlichen Repositories. Nutzer können es optional aber auch zu ihren privaten Repositories hinzufügen.

Momentan ist der Dependency-Graph samt Sicherheitsfunktion für JavaScript- und Ruby-Code verfügbar; ab 2018 soll er jedoch auch Python-Entwicklern zur Verfügung stehen.

Schwachstellen-Erkennung auf CVE-Basis

Der Dependency-Graph bietet einen Repository-übergreifenden Überblick über Projektabhängigkeiten. Steckt in einer dieser Abhängigkeiten eine Schwachstelle, die eine CVE-ID besitzt, blendet die neue Zusatzfunktion einen Warnhinweis inklusive Schweregrad und möglichen Angriffsszenarien ein. Standardmäßig sehen nur Administratoren des Repositories den Hinweis. Entsprechende Einstellungsmöglichkeiten erlauben jedoch das Hinzufügen weiterer Entwickler oder Teams.

Neben allgemeinen Informationen zur Schwachstelle sind auch Update-Empfehlungen für die betroffenen Abhängigkeiten Bestandteil des Sicherheitshinweises. Um diese möglichst sinnvoll zu gestalten, wertet GitHub eigenen Angaben zufolge öffentlich verfügbare Community-Daten mittels Machine Learning aus. (ovw)

Read more on: Source

Comments are disabled