GitHub: Version 3.5 des Enterprise Server verfügbar

Inhaltsverzeichnis

Erst vor zwei Monaten hatte GitHub die Verfügbarkeit der Version 3.4 des Enterprise Server bekanntgegeben. Nun folgt schon die Freigabe des nächsten stabilen Release mit der Versionsnummer 3.5. Es wartet mit mehr als 60 neuen Features auf, zu denen neben Dependabot auch Neuerungen im Bereich der Sicherheit gehören.

Container-Beta

Ein Teil der Version 3.5 ist eine öffentliche Beta-Version der Container-Registry. Diese wurde bereits im vergangenen Jahr freigegeben und soll laut GutHub bereits von vielen Entwicklern zur Verwaltung von Containern eingesetzt werden. Administratoren können den Zugriff auf die Registry über die Management-Konsole des Servers aktivieren. Die Entwickler können dann:

• Eine fein abgestufte Berechtigungskontrolle für Container in ihrer Organisation konfigurieren.
• Interne Sichtbarkeitseinstellungen für Container innerhalb von Organisationen zusätzlich zu den bisher verfügbaren Einstellungen "Privat" und "Öffentlich" konfigurieren.
• Daten auf Organisationsebene gemeinsam nutzen und dadurch Bandbreiten- und Speicheranforderungen verringern.
• Engere Integration in den Workflow ihrer Aktionen und sicheren Zugriff auf Container aus Workflows über den GITHUB_TOKEN erhalten.
• Sie können weiterhin auch den anonymen Zugriff auf öffentliche Container einrichten. Dadurch sind Kunden dann ohne Angabe von Anmeldedaten dazu in der Lage, auf öffentliche Container zuzugreifen.
• Auch das Speichern und Verwalten von Open Container Initiative (OCI) Images ist dann möglich.

Dependabot nun allgemein verfügbar

Darüber hinaus steht für selbst-gehostete Instanzen des Enterprise Server mit Version 3.5 nun auch der Abhängigkeiten-Scanner Dependabot zur Verfügung. Das Werkzeug spürt Sicherheitslücken auf und gibt entsprechende Warnungen aus. Die Software stellt drei Dienste zur Verfügung: Dependabot Alerts alarmiert die Nutzer, sobald Schwachstellen in Ihren Abhängigkeiten entdeckt werden. Dann wird Dependabot Security Updates aktiv, indem es eine Abhängigkeit auf eine gepatchte Version aktualisiert, wenn eine derartige Schwachstelle entdeckt wird. Das geschieht über eine Pull-Anfrage für das entsprechende Repo. Dependabot Version Updates öffnet schließlich Pull Requests, um alle Abhängigkeiten auf dem neuesten Stand zu halten. Das soll laut GitHub deren Anfälligkeit für Schwachstellen und das Risiko verringern, auf einer veralteten Version sitzen zu bleiben.

Weitere Informationen und wie Administratoren bei der Einrichtung von Dependabot auf der GitHub-Enterprise-Server-Instanz vorgehen sollten, sind in der Online-Dokumentation unter Aktivierung von Dependabot für Ihr Unternehmen und Aktivierung des Abhängigkeitsgraphen für Ihr Unternehmen zu finden.

Sicherheit: Audit Log mit Git-Ereignissen

Im Bereich der Sicherheit hat GitHub drei neue Ereignisse neben den bestehenden Audit-Protokoll-Ereignissen aufgenommen. Sie tragen die Bezeichnungen git.clone, git.fetch und git.push und stehen für die Suche über die Benutzeroberfläche, den Export über JSON/CSV und die Suche über die API und Streaming zur Verfügung.

Mit GitHub Advanced Security bietet der Versionswaltungsdienst für Unternehmenskonten auf GitHub Enterprise Cloud und GitHub Enterprise Server 3.0 oder höher zusätzliche Sicherheitsfeatures an, für die eine zusätzliche Lizenz notwendig ist. GitHub Advanced Security ist auch in allen öffentlichen Repositories auf GitHub.com enthalten. Mit der aktuellen Version können Anwender Pushes blockieren, die sicherheitsrelevante Informationen enthalten. Der Push-Schutz scannt mit einer False-Positive-Rate von weniger als 1 Prozent nach eindeutig identifizierbaren Geheimnissen. Entwickler können die identifizierten Geheimnisse überprüfen und entfernen oder, falls erforderlich, die Blockierung umgehen.

Die Version 3.5 steht auf der Webseite von GitHub zum Download bereit. Eine kostenlose Trial-Version für 45 Tage bietet das Unternehmen ebenfalls an.

(fms)