GitHub stellt Funktionen für Sicherheit und Open Source vor
Der Git-Hoster GitHub hat neue Features angekündigt: Damit soll es leichter werden, auf Sicherheitslücken zu reagieren und Open-Source-Projekte zu unterstützen.
Im Rahmen der Entwicklerkonferenz GitHub Satellite in Berlin hat das Unternehmen, das seit Ende 2018 zu Microsoft gehört, Neuigkeiten für die Plattform angekündigt. Dabei geht es vor allem um Werkzeuge für Sicherheit und eine Möglichkeit, Open-Source-Projekte finanziell zu unterstützen.
Mit "Dependency Insights" bekommen Entwickler einen Überblick über gefundene Sicherheitslücken in Abhängigkeiten. Da fast alle Softwareprojekte auf externen Abhängigkeiten aufbauen, waren Entwickler bisher auf Werkzeuge anderer Hersteller angewiesen, um einen vollständigen Überblick über alle Anfälligkeiten zu bekommen. Mit Dependabot hat GitHub jetzt den Hersteller einer solchen Lösung übernommen und integriert die Funktionen in die eigene Oberfläche. In Zukunft sollen Entwickler automatisch Pull-Requests bekommen, wenn der eigene Code auf veralteten Versionen anderer Software basiert.
Ebenfalls förderlich für die Sicherheit ist ein Token-Scanner, der zunächst als Beta-Version angekündigt wurde. Immer wieder gelangen Zugangsdaten, zum Beispiel für Cloud-Anbieter, versehentlich bei einem Commit in öffentliche Repositorys – ein Automatismus soll sie erkennen und sich weigern, sie zu veröffentlichen.
Warnungen an Entwickler
Findet ein Sicherheitsforscher oder Nutzer eine Sicherheitslücke in einem Open-Source-Projekt, hatte er bisher nur die Möglichkeit, einen öffentlichen Pull-Request oder Issue einzureichen – oder er musste eine andere Kontaktmöglichkeit zum Maintainer ausfindig machen. In der Beta-Phase ist jetzt die Funktion "Maintainer Security Advisories", mit der man einen Entwickler unter Ausschluss der Öffentlichkeit kontaktieren und den Fehler gemeinsam lösen kann.
Gibt es eine Lösung für das gefundene Problem, kann der Entwickler zukünftig Nachrichten mit einer Aufforderung zum Update an seine Nutzer verschicken.
Finanzielle Unterstützung
Außerdem führt man einen weiteren Weg ein, ein Open-Source-Projekt zu unterstützen: GitHub Sponsors. Über einen Button in der Oberfläche kann man dem Entwickler Geld zukommen lassen. Im ersten Jahr werden gespendete Beiträge bis 5000 Euro aus einem Fonds verdoppelt.
Auch für Kunden von GitHub Enterprise gibt es Neuerungen. Dazu zählt ein feineres Rechtemanagement, unternehmensweite interne Repositorys und die Sicherheitsfunktionen, die auch für Open-Source-Projekte vorgestellt wurden.
Die neuen Sicherheitsfunktionen ergänzen die erst Anfang Mai vorgestellte Funktion "GitHub Registry", die aktuell in der Beta-Phase ist. Etwa zeitgleich mit GitHub stellte auch das Unternehmen GitLab seine neue Version 11.11 vor. Anders als GitHub unterstützt das Unternehmen nicht nur Open-Source-Projekte durch kostenlose Repositorys, sondern hat auch seine eigene Plattform unter Open-Source-Lizenz veröffentlicht. (jam)