Open Source Security: GitHub Advisory Database kennt Erlang und Elixir
Ab sofort stehen auch kuratierte Sicherheitshinweise zu Erlang und Elixir in der GitHub-Datenbank zu Sicherheitsschwachstellen in Open-Source-Software bereit.
- Frank-Michael Schlede
Code-Hoster GitHub stellt mit der Advisory Database eine umfangreichen Datenbank zur Erfassung von Sicherheitsproblemen bei Open-Source-Software bereit. Auf Basis dieser fĂĽr Entwicklerinnen und Entwickler frei zur VerfĂĽgung stehenden Informationen sollen sich Software Supply Chains besser schĂĽtzen lassen. Zu den bisher bereits unterstĂĽtzten acht Ă–kosystemen kamen mit Erlang und Elixir nun zwei Sprachen hinzu, die fĂĽr die virtuelle Maschine BEAM kompiliert wurden.
Sicherheitshinweise fĂĽr neun Software-Ă–kosysteme
In einem Blog-Beitrag berichten die GitHub-Macher, dass sie mit dieser Erweiterung der Advisory Database nun insgesamt neun verschiedene Ă–kosysteme mit den Hinweisen in dieser Datenbank unterstĂĽtzen: Composer, Go, Maven, npm, NuGet, pip, RubyGems, Rust und nun auch Erlang/Elixir.
Erlang wird vielfach als relativ kompakte Allzweckprogrammiersprache bezeichnet. Zu ihr gehört neben einer entsprechende Laufzeitumgebung eine umfangreiche Bibliothek. Sie kommt häufig in der Entwicklung skalierbarer und nebenläufiger Systeme zum Einsatz. Elixir ist eine dynamische, funktionale Sprache für die Entwicklung skalierbarer und wartbarer Anwendungen und kommt häufig zum Einsatz, wenn es um die Steuerung großer Mengen von Infrastruktur geht. Diese und andere Sprachen, die für die virtuelle Maschine BEAM kompiliert wurden, werden von der Hex-Paketregistrierung verwaltet. Dabei handelt es sich um einen Paketmanager speziell für die Erlang-Welt.
Beiträge aus der Community zu Hex-Paketen gesucht
Die Open-Source-Datenbank mit Sicherheitshinweisen ist unter der Creative Commons Attribution 4.0 lizenziert. Auf diese Weise können die Daten nach Aussagen des GitHub-Teams überall verwendet werden und sollen zudem für immer kostenlos zur Verfügung stehen. Da die Advisory Database nun das Erlang-Ökosystem unterstützt, nimmt GitHub neuerdings Beiträge zu Hex-Paketen aus der Community entgegen. Sicherheitsforscher, Akademiker und Enthusiasten sollen so zusätzliche relevante Informationen bereitstellen können. Sie können ihre Beiträge gemäß den Community-Richtlinien von GitHub einreichen.
(fms)