News

GitHub: Open Source soll sicherer werden

GitHub-COO Erica Brescia bei der Keynote des zweiten Tages der GitHub Universe. (Foto: GitHub)

Zur diesjährigen GitHub Universe hat das Unternehmen eine Reihe von Tools und Maßnahmen vorgestellt, die die Sicherheit von quelloffener Software gewährleisten sollen.

In der zweiten Keynote zur firmeneigenen, jährlich ausgerichteten Dev-Con GitHub Universe hat Erica Brescia – seit Juni dieses Jahres COO des Unternehmens – mit Security Lab, CodeQL und der GitHub Advisory Database ein umfassendes Security-Netz für Open Source vorgestellt. „Wir brauchen nicht nur gute Software, wir brauchen vor allem sichere Software“, so Brescia gegenüber t3n.

Die Sicherheit des Open-Source-Code sei eine ziemlich große Aufgabe, sagte Brescia in der Keynote. Zur Illustration: Allein innerhalb des JavaScript-Ökosystems gibt es mehr als eine Million offen lizensierter Packages. Hinzu kommt der Mangel an Expertise und Fachkräften in diesem Feld. Auf einen Security-Experten kommen etwa 500 „reguläre“ Entwickler. Ein drittes Problem sei das der Koordination. Die wenigen vorhandenen Experten arbeiten für Tausende verschiedene Unternehmen. Mit dem Launch von Security Lab, CodeQL und der Advisory Database will GitHub diese Punkte angehen.

GitHub Security Lab

Das Security Lab ist ein Zusammenschluss aus Security-Researchern, Maintainern und Unternehmen, die sich für Security-Themen innerhalb des Open-Source-Ökosystems einsetzen. In Zusammenarbeit mit einer Reihe von Partnern will GitHub Tools, Ressourcen, Bountys – Belohnungen für Bug-Fixes – und Forschung bereitstellen.

Unter den ersten Partnern finden sich Firmen wie Google, Hackerone, Microsoft, Uber oder Mozilla. Während der Keynote drückte Brescia die Hoffnung aus, dass weitere folgen würden.

Für eure Open-Source-Projekte: GitHub schenkt euch CodeQL

CodeQL – ein Tool, das euch mittels semantischer Analyse hilft, Sicherheitslücken in eurem Code aufzuspüren – ist innerhalb des Open-Source-Kosmos frei verfügbar. Das Tool stammt ursprünglich aus dem Hause Semmle, einem Startup,  das im September diesen Jahres von GitHub übernommen wurde. Die Analyse-Plattform ging aus Forschungsarbeiten an der Universität von Oxford hervor und war – innerhalb quelloffener Projekte – auch schon vor der Übernahme kostenfrei nutzbar.

Mit dem Tool könnt ihr Codesnippets abfragen als wären es Datensätze. Sobald ein Fehler in einer Codebase bekannt ist, könnt ihr – mit nur einer Abfrage – semantisch ähnlichen Code finden und den Fehler eliminieren. Eure Abfrage könnt ihr anschließend anderen Entwicklern zugänglich machen – und so zur Sicherheit von offen lizenzierter Software beitragen.

GitHub Advisory Database

Mit der GitHub Advisory Database launcht die Version-Control-Plattform eine öffentliche Security-Advisory-Databank – zusammengestellt aus von Maintainern auf GitHub erstellten Daten. So sollen Maintainer und Security-Experten an Security-Updates arbeiten, direkt von der Plattform aus einen automatisierten Request für einen CVE-Eintrag stellen und weitere Details zur Sicherheitslücke spezifizieren können. Zeitgleich mit der Aufnahme in die Advisory-Datenbank schickt GitHub Security-Alerts an von der Lücke betroffene Projekte raus. Aufrufen könnt ihr die Datenbank direkt in eurem Browser – oder programmatisch über GitHubs GraphQL-API darauf zugreifen.

Alle Details zu den Neuerungen erfahrt ihr in diesem Blogpost, das Video zur Keynote findet ihr auf Youtube.


t3n meint:

Damit adressiert GitHub quasi den gesamten Open-Source-Security-Lifecycle. Insgesamt eine tolle Sache, die das Portfolio der Version-Control-Plattform um einen wichtigen Aspekt ergänzt.

Kathrin Stoll

Zum Weiterlesen: 

Bitte beachte unsere Community-Richtlinien

Wir freuen uns über kontroverse Diskussionen, die gerne auch mal hitzig geführt werden dürfen. Beleidigende, grob anstößige, rassistische und strafrechtlich relevante Äußerungen und Beiträge tolerieren wir nicht. Bitte achte darauf, dass du keine Texte veröffentlichst, für die du keine ausdrückliche Erlaubnis des Urhebers hast. Ebenfalls nicht erlaubt ist der Missbrauch der Webangebote unter t3n.de als Werbeplattform. Die Nennung von Produktnamen, Herstellern, Dienstleistern und Websites ist nur dann zulässig, wenn damit nicht vorrangig der Zweck der Werbung verfolgt wird. Wir behalten uns vor, Beiträge, die diese Regeln verletzen, zu löschen und Accounts zeitweilig oder auf Dauer zu sperren.

Trotz all dieser notwendigen Regeln: Diskutiere kontrovers, sage anderen deine Meinung, trage mit weiterführenden Informationen zum Wissensaustausch bei, aber bleibe dabei fair und respektiere die Meinung anderer. Wir wünschen Dir viel Spaß mit den Webangeboten von t3n und freuen uns auf spannende Beiträge.

Dein t3n-Team

Schreib den ersten Kommentar!

Melde dich mit deinem t3n Account an oder fülle die unteren Felder aus.

Bitte schalte deinen Adblocker für t3n.de aus!

Hey du! Schön, dass du hier bist. 😊

Bitte schalte deinen Adblocker für t3n.de aus, um diesen Artikel zu lesen.

Wir sind ein unabhängiger Publisher mit einem Team bestehend aus 65 fantastischen Menschen, aber ohne riesigen Konzern im Rücken. Banner und ähnliche Werbemittel sind für unsere Finanzierung sehr wichtig.

Danke für deine Unterstützung.

Digitales High Five,
Stephan Dörner (Chefredakteur t3n.de) & das gesamte t3n-Team

Anleitung zur Deaktivierung