Neues GitHub-Feature erkennt sicherheitsanfälligen Code

JavaScript- und Ruby-Entwicklern bietet GitHub künftig eine Sicherheitsfunktion, die vor bekannten Schwachstellen in Projektabhängigkeiten warnt. Update-Empfehlungen sind inklusive.

Lesezeit: 1 Min.
In Pocket speichern
vorlesen Druckansicht Kommentare lesen 20 Beiträge
GitHub: Neues Sicherheits-Feature warnt vor bekannten Schwachstellen

(Bild: github.com)

Von
  • Olivia von Westernhagen

Der Projekthoster GitHub hat das im vergangenen Monat neu eingeführte Feature Dependency Graph um eine Zusatzfunktion erweitert, die Entwickler automatisch auf sicherheitsanfälligen Code in Projektabhängigkeiten hinweisen soll. Wie der Dependency Graph selbst ist es laut GitHub ab sofort fester Bestandteil jedes öffentlichen Repositories. Nutzer können es optional aber auch zu ihren privaten Repositories hinzufügen.

Momentan ist der Dependency-Graph samt Sicherheitsfunktion für JavaScript- und Ruby-Code verfügbar; ab 2018 soll er jedoch auch Python-Entwicklern zur Verfügung stehen.

(Bild: github.com)

Der Dependency-Graph bietet einen Repository-übergreifenden Überblick über Projektabhängigkeiten. Steckt in einer dieser Abhängigkeiten eine Schwachstelle, die eine CVE-ID besitzt, blendet die neue Zusatzfunktion einen Warnhinweis inklusive Schweregrad und möglichen Angriffsszenarien ein. Standardmäßig sehen nur Administratoren des Repositories den Hinweis. Entsprechende Einstellungsmöglichkeiten erlauben jedoch das Hinzufügen weiterer Entwickler oder Teams.

Neben allgemeinen Informationen zur Schwachstelle sind auch Update-Empfehlungen für die betroffenen Abhängigkeiten Bestandteil des Sicherheitshinweises. Um diese möglichst sinnvoll zu gestalten, wertet GitHub eigenen Angaben zufolge öffentlich verfügbare Community-Daten mittels Machine Learning aus. (ovw)