GitHub: Mehr Sicherheit durch Code Scanning auch für Swift
Der Code-Hoster GitHub erhöht die Sicherheit für mobile Anwendungen, indem er Code-Scanning-Funktionen in einer Beta-Version für Swift ankündigt.
- Frank-Michael Schlede
Code Scanning soll Entwickler und Entwicklerinnen dabei unterstützen, ihren Code auf Sicherheitslücken hin zu untersuchen. Nachdem GitHub im letzten Jahr bereits derartigen Support für Kotlin angekündigt hatte, steht diese Funktionalität nun in einer Beta-Version auch für Swift bereit. Mit ihr bekommen Entwickler und Entwicklerinnen die Möglichkeit, Swift-Repositories auf potenzielle Schwachstellen zu scannen. Weiterhin kündigte das Entwicklerteam die bevorstehende Unterstützung für Swift-Sicherheitshinweise an, die es Dependabot (GitHubs integrierten Abhängigkeiten-Scanner) ermöglicht, Programmierer und Programmiererinnen über verwundbare Swift-Abhängigkeiten im Abhängigkeitsdiagramm zu informieren.
Alles dreht sich um Sicherheit
Bereits im November des letzten Jahres hat das Entwicklerteam bei GitHub die Beta-Version der Kotlin-Unterstützung für Code-Scanning angekündigt. In einem aktuellen Blog-Eintrag berichten sie nun unter anderem, dass Entwicklerinnen und Entwickler seitdem über 6000 Kotlin-Warnungen behoben haben. Sie führen weiter aus, dass neben dieser Unterstützung von Kotlin auch Swift für CodeQL (die Engine für das Code-Scanning auf GitHub) aufgrund der wachsenden Beliebtheit dieser Programmiersprache entscheidend an Bedeutung gewonnen habe.
Kotlin und Swift sind in der Mobile-App-Entwicklung insbesondere für die Plattformen Android und iOS weit verbreitet. Daher möchte GitHub mit dem erweiterten Code-Scanning für diese Sprachen Entwickler gezielter unterstützen, um spezifische Sicherheitsschwachstellen und potenzielle Bedrohungen besser analysieren und erkennen zu können.
Schrittweise Erhöhung der Schwachstellenabdeckung
Für Swift decken die neuen Funktionen sowohl die Identifizierung von Problemen wie Pfadinjektionen, unsichere Web-View-Fetches und zahlreiche kryptografische Missbräuche als auch andere Arten unsicherer Auswertungen sowie die Verarbeitungen von Benutzerdaten, die nicht von sicherheitsrelevanten Informationen gesäubert wurden, ab. So soll sichergestellt sein, dass Entwicklungsteams Sicherheitsprobleme während des Entwicklungsprozesses durch Warnungen proaktiv erkennen und angehen können. GitHub verspricht zudem, die Abdeckung der einzelnen Schwachstellen während der öffentlichen Beta-Phase schrittweise weiter zu erhöhen.
Swift gesellt sich damit zu den bereits unterstützten Sprachen C/C++, Java/Kotlin, JavaScript/TypeScript, Python, Ruby, C# und Go. So sollen Entwicklerinnen und Entwickler nun fast 400 Überprüfungen ihres Codes durchführen können – die False-Positive-Rate soll dabei zudem niedrig bleiben. Weitergehende Informationen und einen kurzen Ausblick auf die weitere Entwicklung finden Interessierte im Blog-Beitrag auf GitHub.
(fms)