Schwachstellen in Open Source: GitHub öffnet direkten Draht zu Maintainern
Sicherheitsforscher können Schwachstellen an Maintainer von Open-Source-Projekten melden. Unterdessen steht GitHubs KI-Assistent Copilot in der Kritik.
(Bild: Gorodenkoff/Shutterstock.com)
- Rainald Menge-Sonnentag
GitHub hat eine neue Funktion eingeführt, mit der Maintainer von Open-Source-Projekten direkt Informationen über Schwachstellen erhalten können. Eine neue Option in den Security-Settings aktiviert einen Button, mit der Sicherheitsforscher Probleme an die Verantwortlichen melden können.
Sicherheitsforscher fühlten sich laut der Dokumentation zur Neuerung auf GitHub oft verantwortlich, Usern eine Schwachstelle zu melden, die sich ausnutzen lässt. Bisher gab es jedoch keine klaren Vorgaben, wie sie damit umgehen sollen. Sie konnten entweder versuchen, die Maintainer mit einer Direktnachricht zu erreichen, oder die Schwachstelle öffentlich beispielsweise über Social-Media-Kanäle oder als Public Issue im Projekt bekanntgeben.
GitHub: Der direkte Draht zu den Verantwortlichen
In den Security-Settings der GitHub-Repositories finden Projekt-Maintainer neuerdings unter Code security and analysis die Option Private vulnerability reporting, die derzeit noch als Beta gekennzeichnet ist.
Nach dem Aktivieren zeigt die Seite zu den Security Advisories eines Projekts den Button Report a vulnerability, über den Sicherheitsforscher Schwachstellen direkt an die Maintainer melden können. Diese erhalten eine Mitteilung und können den Bericht akzeptieren, zusätzliche Fragen dazu stellen oder ihn zurückweisen. In den ersten beiden Fällen können sie mit denjenigen zusammenarbeiten, die das Problem gemeldet haben.
Gemeinsam können sie zum einen Security Advisories erstellen und zum anderen versuchen, die Schwachstelle zu beheben. Die Neuerung schließt sich an einige Maßnahmen von GitHub an, die darauf zielen, Schwachstellen in Open-Source-Projekten zu beheben, darunter die Anfang des Jahres gestartete GitHub Advisory Database.
GitHubs KI-Assistent Copilot in der Kritik
Derweil steht GitHubs KI-Assistent Copilot nicht nur wegen Lizenzverletzungen in der Kritik, sondern auch als potenzieller Verursacher von Schwachstellen. Laut einer auf der Black Hat 2022 vorgestellten Untersuchung schlägt Copilot häufig Code vor, der Sicherheitslücken in Programme einbringt.
Weitere Details zum Private Vulnerability Reporting finden sich in der GitHub-Dokumentation. Die Option steht allen Maintainern von öffentlichen Repositories offen.
(rme)
