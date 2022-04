GitHub hat als neues Security-Feature die Action Dependency Review angekündigt, um Sicherheitslücken in der Supply Chain auf automatisierte Weise zu verhindern. Sie reiht sich in bereits bestehende Sicherheitsfunktionen wie den Dependabot ein, der Sicherheitslücken in bestehenden Dependencies anzeigt. Demgegenüber soll sich die neue Funktion auf neu hinzuzufügende Dependencies beziehen, um dort vorhandene Sicherheitslücken von vornherein aus dem eigenen Code fernzuhalten.

Automatisierter Schutz der Supply Chain

Für eine erhöhte Supply-Chain-Sicherheit steht die neue GitHub Action namens Dependency Review bereit. Sie scannt Pull Requests auf Änderungen von Dependencies und gibt eine Fehlermeldung aus, wenn neue Dependencies bestehende Sicherheitslücken aufweisen. Dazu greift sie auf Daten aus der GitHub Advisory Database zurück.

Unterstützt wird Dependency Review von der neuen Dependency-Review-API, die als öffentliche Beta vorliegt. Diese zeigt den Unterschied (diff) bezüglich der Dependencies zwischen zwei Commits eines Repository an. Dazu zählen auch Vulnerabilitätsdaten.

Eine Fehlermeldung der neuen GitHub Action aufgrund der automatischen Erkennung angreifbarer Packages ist im zugehörigen GitHub-Repository zu sehen:

Dependency Review hat in diesem Beispiel eine Sicherheitslücke in einer neuen Dependency festgestellt. (Bild: Microsoft)

Einsatz und Verfügbarkeit

Die GitHub Action Dependency Review steht sowohl im GitHub Marketplace als auch in einem eigenen GitHub Repository unter Security im Tab Actions im öffentlichen Beta-Status bereit. Sie ist für alle öffentlichen Repositorys verfügbar, ebenso wie für private Repositorys mit lizenzierter GitHub Advanced Security.

Alle weiteren Informationen zu Dependency Review bietet ein Blogeintrag zur Ankündigung.

