Mehr Code-Sicherheit bei Open Source: Ein Jahr GitHub Security Lab
Die Initiative zur Verbesserung der Code-Sicherheit innerhalb des Open-Source-Ökosystems will im ersten Jahr bereits über 400 Schwachstellen gefunden haben.
(Bild: VideoFlow/Shutterstock.com)
- Madeleine Domogalla
Im Rahmen der Universe 2019 hatte GitHub vor einem Jahr eine neue Initiative zur Verbesserung von Code-Sicherheit vorgestellt. GitHub Security Lab verfolgt das Ziel, zur Sicherung des Open-Source-Ökosystems beizutragen. Die Kooperation von allen an sicherer Software interessierten Parteien (Entwickler, Firmen, Sicherheitsforschern) sollte vereinfacht und effektiver gestaltet werden. Zu den Partnern beim Security Lab zählen Google, Uber, Mozilla und Oracle.
Sicherheitsforschung, Community und Engagement in der Industrie
Die Initiative legt den Fokus auf drei Schwerpunkte: Sicherheitsforschung, Aufbau einer Community und das Engagement in der Industrie. GitHub Security Lab setzt sich im Kern hauptsächlich aus einem Team von Sicherheitsforschern zusammen, das sich darauf konzentriert, Schwachstellen in Open Source Software (OSS) zu finden, bevor sie zu einem Exploit werden – also bevor ein Angreifer die Schwachstelle ausnutzen kann. GitHub gibt an, dass das Team im ersten Jahr durch Variantenanalyse, gesteuert durch die eigene Code-Analyse-Engine CodeQL, gezieltes Fuzzing und manuelle Codeüberprüfung bereits über 400 Issues gefunden hat. Davon seien auch große Projekte wie Google Chrome, Android, der Linux-Kernel, Ubuntu und Java-Enterprise-Anwendungen betroffen gewesen.
Nach eigenen Angaben soll das Team auch dabei geholfen haben, einen aktiven Angriff auf eine OSS-Lieferkette zu stoppen. Darüber hinaus trug die Initiative offenbar vor Kurzem dazu bei, eine kritische Remote-Schwachstelle in der deutschen COVID-19-Infrastruktur zu identifizieren und zu beheben.
Ziele für 2021
Für das kommende Jahr hat sich das Team das Ziel gesetzt, den Workflow zum Beheben von OSS-Schwachstellen weiter zu verbessern und die Community weiter einzubinden. Darüber hinaus möchte das Forscherteam das Spektrum erweitern, und sich nicht nur auf Schwachstellen in Open-Source-Code konzentrieren. Auch beispielsweise über Paketmanager bereitgestellte OSS-Komponenten stehen immer mehr im Zentrum von Angriffen, beispielsweise durch Hijacking und Mailware. Hier sieht Security Lab eine Möglichkeit zu helfen.
Zu guter Letzt möchte GitHub Security Lab dazu beitragen, die Lücke zwischen Sicherheits- und Entwickler-Community zu überbrücken. Das Erstellen von CodeQL-Abfragen ist ein erster Schritt, doch das Forscherteam möchte seine Bemühungen weiter ausbauen, beispielsweise in Form von neuen Bildungsinhalten und der Unterstützung von Beiträgen aus der Community sowie der Open Source Security Foundation (OpenSSF). Nähere Informationen zu GitHub Security Lab und seinem ersten Jubiläum finden sich im Beitrag auf dem GitHub-Blog.
(mdo)
