GitHub hat eine neue Sicherheitsfunktion für JavaScript- und Ruby-Entwickler eingeführt die vor bekannten Schwachstellen in Projektabhängigkeiten warnt. Die Funktion bietet ebenfalls Empfehlungen für Updates um die Sicherheit des Codes zu optimieren.
Wie der Dependency Graph selbst ist es laut GitHub ab sofort fester Bestandteil jedes öffentlichen Repositories. Nutzer können es optional auch noch zu ihren privaten Repositories hinzufügen.
Momentan ist der Dependency-Graph samt Sicherheitsfunktion für JavaScript- & Ruby-Code verfügbar; ab 2018 soll er jedoch auch Python-Entwicklern zur Verfügung stehen.
Schwachstellen-Erkennung auf CVE-Basis
Bild: github.com
Der Dependency-Graph bietet einen Repository-übergreifenden Überblick über Projektabhängigkeiten. Steckt in einer dieser Abhängigkeiten eine Schwachstelle die eine CVE-ID besitzt, blendet die neue Zusatzfunktion einen Warnhinweis inklusive Schweregrad und möglichen Angriffsszenarien ein. Standardmäßig sehen nur Administratoren des Repositories den Hinweis. Entsprechende Einstellungsmöglichkeiten erlauben jedoch das Hinzufügen weiterer Entwickler oder Teams.
Neben allgemeinen Informationen zur Schwachstelle sind auch Update-Empfehlungen für die betroffenen Abhängigkeiten Bestandteil des Sicherheitshinweises. Um diese möglichst sinnvoll zu gestalten, wertet GitHub eigenen Angaben zufolge öffentlich verfügbare Community-Daten mittels Machine Learning aus.
Kommentare