GitHubs Security-Scanner unterstützt als dritte Programmiersprache nun Python

Nun können auch Python-Entwickler die Sicherheits-Features des Dependency-Graphen in ihrem auf GitHub gehosteten Code nutzen. Bislang war es allein JavaScript- und Ruby-Projekten vorbehalten, diese Sicherheitsfunktionen zu nutzen. Aber schon zur Vorstellung auf der letztjährigen GitHub Universe war Python als dritte Programmiersprache ins Gespräch gebracht worden. Der Python-Scanner ist standardmäßig in öffentlichen Repositories aktiviert. Bei privaten müssen ihre Betreiber dem Abhängigkeitsgraphen Zugriff auf das Repo gewähren.

Der Dependency-Graph erlaubt es Entwicklern, einen Einblick in die Abhängigkeiten des eigenen Code zu erhalten. Das soll die Sicherheit erhöhen, da sie sehen können, wie der eigene Code im Zusammenhang mit anderen Projekten steht, also sowohl auf welche Projekte der Code sich bezieht als auch welche Projekte den Code referenzieren. Seit der initialen Vorstellung sind laut GitHub Millionen von Schwachstellen identifiziert und demzufolge viele Patches veranlasst worden.

Eine Basis zusammenzustellen, um unsicheren Python-Code herauszufiltern, ist nicht einfach. Denn Python spielt nur eine geringe Rolle in der MITRE-CVE-Datenbank (Common Vulnerabilities and Exposures). So sind dieses Jahr vier Einträge eingegangen, von denen einer umstritten ist. Wohl auch deswegen wird GitHub in den kommenden Wochen die eigene Datenbank um weitere historische Python-Schwachstellen ergänzen. Und man werde weiterhin den Feed der National Vulnerability Database (NVD) und andere Quellen überwachen sowie Warnungen zu neu veröffentlichten Sicherheitslücken in Python-Paketen verteilen.

[Update v. 16.07.2018, 15:28 Uhr]: Unsere Leser weisen darauf hin, dass es für Perl in den Repositories von CPAN und MetaCPAN schon seit geraumer Zeit einen vergleichbaren Service gibt. (ane)