GitHub liefert automatische Sicherheitspatches und verteilt CVEs

GitHub erweitert seine Plattform um weitere Sicherheitsfeatures. Das Unternehmen will Entwicklern damit die Arbeit erleichtern und Software sicherer machen.

In Pocket speichern vorlesen Druckansicht 10 Kommentare lesen
GitHub liefert automatische Sicherheitspatches und verteilt CVEs
Lesezeit: 1 Min.
Von
  • Merlin Schumacher

Um die Sicherheit von Software-Projekten zu erhöhen, hat GitHub die Sicherheitsfunktionen seiner Plattform weiter ausgebaut. Für die bessere Erkennung von Lücken hat man den Codeanalyse-Dienstleister Semmle übernommen. Zudem ist das Unternehmen nun auch CNA (CVE Numbering Authority) und kann somit CVE-Nummern für Sicherheitslücken ausstellen. Der für diese Funktionen nötige Dependency Graph beherrscht in Zukunft auch PHP.

GitHub scannt die Abhängigkeiten innerhalb von Projekten automatisch auf Sicherheitslücken. Die Plattform erzeugt automatische Pull-Requests mit Korrekturen, wenn in verwendeten Abhängigkeiten eine Lücke bekannt ist. Als Quellen für die Sicherheitslücken dienen laut GitHub dabei unter anderem die Sicherheitslückendatenbank des NIST, WhiteSource und MITRE.

Zudem wird GitHub ab sofort selber CVE-Nummern verteilen, wenn Entwickler oder Sicherheitsforscher Lücken melden. Um die Arbeit von Entwicklern zu erleichtern ist es möglich, Lücken privat zu melden, damit diese nicht sofort an die Öffentlichkeit gelangen. Die Entwickler können für die Schließung der Lücken einen abgetrennten privaten Fork erstellen. Wurde die Lücke geschlossen, kann ein Patch veröffentlicht werden und alle Projekte, die von der Lücke betroffen sind, werden über die neue Version informiert.

Beim Finden von Lücken in Code hilft das zugekaufte Unternehmen Semmle. Semmles automatische Code-Analyse-Plattform LGTM sucht selbständig in Code nach bekannten Lücken und informiert die Entwickler darüber. Die neuen Funktionen sind, wie bei GitHubs Ankündigungen üblich, für Open-Source-Projekte kostenlos. (mls)