Newsletter heise-Bot heise-Bot Push Nachrichten Push Push-Nachrichten

Red Hat aktualisiert Werkzeug für die Dependency-Analyse

Dependency Analytics, das Module auf mögliche Schwachstellen und lizenzrechtliche Bedenken untersucht, analysiert nun auch Python-Anwendungen.

In Pocket speichern vorlesen Druckansicht 5 Kommentare lesen
Red Hat aktualisiert Tool für die Dependency-Analyse
Lesezeit: 2 Min.
Developer
Von
  • Rainald Menge-Sonnentag

Red Hat hat Dependency Analytics aktualisiert. Das Entwicklertool ist als Plug-in für Visual Studio Code, Eclipse Che und die Entwicklungsumgebungen von JetBrains verfügbar. Es prüft Projekte auf eingebundene Module, die bekannte Schwachstellen aufweisen oder potenziell unverträgliche Lizenzen verwenden.

Neuerdings analysiert das Werkzeug neben Java und JavaScript-Anwendungen auch Python-Projekte. Dort schaut es nach den aus dem Python Package Index (PyPI) verwendeten Paketen analog zu der Untersuchung von npm-Paketen für JavaScript. Bei Java-Anwendungen analysiert Depency Analytics die im Build-Tool Maven verwendeten Dependencies.

Indirekt abhängig

Eine durchaus wichtige Anpassung ist, dass das Werkzeug nun auch transitive Dependencies analysiert, also Pakete, die das Projekt nicht direkt verwendet, sondern auf die die genutzten Pakete zugreifen. Dazu erstellt das Tool einen Dependency Graph der Anwendung, den es vollständig analysiert.

Der bei Red Hat gehostete Analyseservice, auf den das Plug-in zugreift, enthält zudem neuerdings tägliche Updates der bekannten Schwachstellen. Laut dem Blogbeitrag gibt es im Schnitt jeden Tag drei neue Meldungen zu Vulnerabilities in npm- beziehungsweise PyPI-Paketen. Darüber hinaus nutzt der serverseitige Dienst die National Vulnerability Database (NVD) zum Erfassen von Schwachstellen.

Ergänzende Vorschläge

Neuerdings schlägt Red Hat Dependency Analytics zudem Open-Source-Bibliotheken vor, die zum Projekt passen und vorhandene Komponenten ersetzen beziehungsweise ergänzen können. Die serverseitige Komponente nutzt Machine Learning, um Statistiken auf GitHub auszuwerten und eine Liste "qualitativ hochwertiger Open Source Libraries" zu kuratieren. Entwickler können die Vorschläge mit Daumen-hoch oder -runter-Icons positiv oder negativ bewerten, und die Rückmeldungen fließen in die Bewertung der Libraries ein.

Das Plug-in erkennt nicht nur Schwachstellen, sondern schlägt vermeintlich passende Module vor.

(Bild: Red Hat)

Weitere Details zu den Neuerungen in Red Hat Depencency Analysis lassen sich dem Entwicklerblog bei Red Hat entnehmen. Das Plug-in für Visual Studio Code findet sich im Marketplace zu Visual Studio. Für die JetBrains-Tools ist es in der Plug-in-Sammlung zu finden.

(rme)

Spiele

nach oben
Alle Angebote
Newsletter heise-Bot heise-Bot Push Nachrichten Push Push-Nachrichten