20.11.2019, 23:28 Uhr • Lesezeit: 2 Min. Gerade keine Zeit? Jetzt speichern und später lesen

Hinweis: Wir haben in diesem Artikel Provisions-Links verwendet und sie durch "*" gekennzeichnet. Erfolgt über diese Links eine Bestellung, erhält t3n.de eine Provision.

Zur diesjährigen GitHub Universe hat das Unternehmen eine Reihe von Tools und Maßnahmen vorgestellt, die die Sicherheit von quelloffener Software gewährleisten sollen.

In der zweiten Keynote zur firmeneigenen, jährlich ausgerichteten Dev-Con GitHub Universe hat Erica Brescia – seit Juni dieses Jahres COO des Unternehmens – mit Security Lab, CodeQL und der GitHub Advisory Database ein umfassendes Security-Netz für Open Source vorgestellt. „Wir brauchen nicht nur gute Software, wir brauchen vor allem sichere Software“, so Brescia gegenüber t3n.

Die Sicherheit des Open-Source-Code sei eine ziemlich große Aufgabe, sagte Brescia in der Keynote. Zur Illustration: Allein innerhalb des JavaScript-Ökosystems gibt es mehr als eine Million offen lizensierter Packages. Hinzu kommt der Mangel an Expertise und Fachkräften in diesem Feld. Auf einen Security-Experten kommen etwa 500 „reguläre“ Entwickler. Ein drittes Problem sei das der Koordination. Die wenigen vorhandenen Experten arbeiten für Tausende verschiedene Unternehmen. Mit dem Launch von Security Lab, CodeQL und der Advisory Database will GitHub diese Punkte angehen.

GitHub Security Lab

Das Security Lab ist ein Zusammenschluss aus Security-Researchern, Maintainern und Unternehmen, die sich für Security-Themen innerhalb des Open-Source-Ökosystems einsetzen. In Zusammenarbeit mit einer Reihe von Partnern will GitHub Tools, Ressourcen, Bountys – Belohnungen für Bug-Fixes – und Forschung bereitstellen.

Unter den ersten Partnern finden sich Firmen wie Google, Hackerone, Microsoft, Uber oder Mozilla. Während der Keynote drückte Brescia die Hoffnung aus, dass weitere folgen würden.

Für eure Open-Source-Projekte: GitHub schenkt euch CodeQL

CodeQL – ein Tool, das euch mittels semantischer Analyse hilft, Sicherheitslücken in eurem Code aufzuspüren – ist innerhalb des Open-Source-Kosmos frei verfügbar. Das Tool stammt ursprünglich aus dem Hause Semmle, einem Startup,  das im September diesen Jahres von GitHub übernommen wurde. Die Analyse-Plattform ging aus Forschungsarbeiten an der Universität von Oxford hervor und war – innerhalb quelloffener Projekte – auch schon vor der Übernahme kostenfrei nutzbar.

Mit dem Tool könnt ihr Codesnippets abfragen als wären es Datensätze. Sobald ein Fehler in einer Codebase bekannt ist, könnt ihr – mit nur einer Abfrage – semantisch ähnlichen Code finden und den Fehler eliminieren. Eure Abfrage könnt ihr anschließend anderen Entwicklern zugänglich machen – und so zur Sicherheit von offen lizenzierter Software beitragen.

GitHub Advisory Database

Mit der GitHub Advisory Database launcht die Version-Control-Plattform eine öffentliche Security-Advisory-Databank – zusammengestellt aus von Maintainern auf GitHub erstellten Daten. So sollen Maintainer und Security-Experten an Security-Updates arbeiten, direkt von der Plattform aus einen automatisierten Request für einen CVE-Eintrag stellen und weitere Details zur Sicherheitslücke spezifizieren können. Zeitgleich mit der Aufnahme in die Advisory-Datenbank schickt GitHub Security-Alerts an von der Lücke betroffene Projekte raus. Aufrufen könnt ihr die Datenbank direkt in eurem Browser – oder programmatisch über GitHubs GraphQL-API darauf zugreifen.

Alle Details zu den Neuerungen erfahrt ihr in diesem Blogpost, das Video zur Keynote findet ihr auf Youtube.

Zum Weiterlesen: 

• GitHub Universe: Code-Plattform bekommt eigene App und entlässt Actions aus der Beta
• GitHub baut Permafrost-Langzeitarchiv für Open-Source-Software auf

Meistgelesen