Abo
Newsletter heise-Bot heise-Bot Push Nachrichten Push Push-Nachrichten

Versionsverwaltung: GitHub arbeitet am automatisierten Schutz der Supply Chain

Eine neue Action mit zugehöriger API soll verhindern, dass bekannte Supply-Chain-Sicherheitslücken ihren Weg in den Code von GitHub-Nutzern finden.

In Pocket speichern vorlesen Druckansicht 3 Kommentare lesen

(Bild: Michael Derrer Fuchs/Shutterstock.com)

Lesezeit: 1 Min.
Developer
Von

GitHub hat als neues Security-Feature die Action Dependency Review angekĂĽndigt, um SicherheitslĂĽcken in der Supply Chain auf automatisierte Weise zu verhindern. Sie reiht sich in bereits bestehende Sicherheitsfunktionen wie den Dependabot ein, der SicherheitslĂĽcken in bestehenden Dependencies anzeigt. DemgegenĂĽber soll sich die neue Funktion auf neu hinzuzufĂĽgende Dependencies beziehen, um dort vorhandene SicherheitslĂĽcken von vornherein aus dem eigenen Code fernzuhalten.

Automatisierter Schutz der Supply Chain

Für eine erhöhte Supply-Chain-Sicherheit steht die neue GitHub Action namens Dependency Review bereit. Sie scannt Pull Requests auf Änderungen von Dependencies und gibt eine Fehlermeldung aus, wenn neue Dependencies bestehende Sicherheitslücken aufweisen. Dazu greift sie auf Daten aus der GitHub Advisory Database zurück.

Thementag Supply Chain Security

Am 26. April findet der Thementag der heise devSec zu Supply Chain Security statt. Die halbtägige Online-Veranstaltung soll dabei helfen, potenzielle Schwachstellen im Vorfeld zu erkennen und Software von Drittanbietern sicher einzubinden. Das Programm bietet folgende Vorträge:

  • Software-Supply-Chain-Sicherheit: Mehr als log4j und Solarwinds
  • Supply-Chain-Angriffe auf Open-Source-Ă–kosysteme – Ăśberblick und GegenmaĂźnahmen
  • Docker: Security-Desaster (und was wir daraus lernen können)
  • Richtig vorbereiten, um gut reagieren zu können, wenn es brennt

Im abschlieĂźenden Panel diskutieren die Speaker und weitere Security-Profis ĂĽber die Gefahren fĂĽr die Software-Supply-Chain, die jĂĽngsten Entwicklungen und die daraus gezogenen Lehren.

Unterstützt wird Dependency Review von der neuen Dependency-Review-API, die als öffentliche Beta vorliegt. Diese zeigt den Unterschied (diff) bezüglich der Dependencies zwischen zwei Commits eines Repository an. Dazu zählen auch Vulnerabilitätsdaten.

Eine Fehlermeldung der neuen GitHub Action aufgrund der automatischen Erkennung angreifbarer Packages ist im zugehörigen GitHub-Repository zu sehen:

Dependency Review hat in diesem Beispiel eine SicherheitslĂĽcke in einer neuen Dependency festgestellt.

(Bild: Microsoft)

Einsatz und VerfĂĽgbarkeit

Die GitHub Action Dependency Review steht sowohl im GitHub Marketplace als auch in einem eigenen GitHub Repository unter Security im Tab Actions im öffentlichen Beta-Status bereit. Sie ist für alle öffentlichen Repositorys verfügbar, ebenso wie für private Repositorys mit lizenzierter GitHub Advanced Security.

Alle weiteren Informationen zu Dependency Review bietet ein Blogeintrag zur AnkĂĽndigung.

(mai)

Spiele

Alle Angebote
Newsletter heise-Bot heise-Bot Push Nachrichten Push Push-Nachrichten