GitHubs Security Lab und CodeQL sollen den Code der Welt sicherer machen.

Das GitHub Security Lab soll Sicherheitsforscher, Softwareentwickler und Unternehmen zusammenbringen, um Code besser abzusichern.

In Pocket speichern vorlesen Druckansicht 6 Kommentare lesen
GitHubs Security Lab und CodeQL sollen den Code der Welt sicherer machen.
Lesezeit: 2 Min.
Von
  • Merlin Schumacher

GitHub hat im Rahmen der Universe eine neue Initiative zur Verbesserung von Code-Sicherheit vorgestellt. Sie trägt den Namen Security Lab. Ziel ist es, die Kooperation von allen an sicherer Software interessierten Parteien, also Entwicklern, Firmen und Sicherheitsforschern zu vereinfachen und effektiver zu machen. Partner beim Security Lab sind Unternehmen wie Google, Uber, Mozilla und Oracle.

Außerdem wird das Werkzeug CodeQL für Open-Source-Projekte ab sofort kostenlos angeboten. Es dient zur semantischen Codeanalyse und wird von Semmle entwickelt. Im Anschluss an die Übernahme von Semmle im September 2019 hatte GitHub eine Sicherheitsinitiative angekündigt.

Das Team des Labs will in Zukunft mehr Sicherheitsforscher aus verschiedenen Unternehmen zusammenbringen und deren Arbeit leichter Koordinieren. Dabei sollen auch eigene Veranstaltungen dienen, die man per Twitter ankündigt. Laut GitHub kommen auf jeden Sicherheitsforscher etwa 500 Entwickler.

Auch das Patchen von Lücken soll einfacher werden. Entwickler und Sicherheitsforscher können Patches in nicht-öffentlichen Bereichen namens "Security Advisorys" besprechen und so sicherstellen, dass es genug Zeit gibt, um Lücken zu schließen. In diesen privaten Security Advisorys können Entwickler auch direkt eine CVE-Nummer beantragen. Alle Entwickler bekommen nun automatische Hinweise auf Sicherheitslücken in den Abhängigkeiten ihrer Projekte.

Zu den Sicherheitsfeatures gehören auch das Token Scanning, bei dem Zugriffsschlüssel in öffentlichen Repositorys gesucht werden. Entwickler werden dann darauf hingewiesen, dass sie den eigentlich privaten Schlüssel veröffentlicht haben.

Zur Übersicht der auf und von GitHub gefundenen Sicherheitslücken dient in Zukunft die GitHub Advisory Database. Dort können Nutzer nach CVEs suchen und die nach Schweregrad und Ökosystem filtern und in Kommentaren direkt auf CVEs verlinken. Im Zuge des Kaufs von Semmle hat das Unternehmen auch seine Bemühungen im Bereich Security vergrößert.

Hinweis: GitHub hat die Kosten für die Anreise des Autors zur Konferenz in San Francisco übernommen. (mls)