Suche
Stets wachsam!

Sicher in GitHub mit Security Alerts und Dependency Graphs

Jane Elizabeth
© Shutterstock.com / Jaromir Chalabala

Sicherheitsrisiken sollten nicht auf die leichte Schulter genommen werden, doch es kann ermüdend sein, stets ein wachsames Auge auf alle potentiellen Gefahren zu werfen. In Sicherheitsfragen können Nutzer nun auf GitHubs Dependency Graph und Security Alerts zurückgreifen, diese sollen dabei helfen, mögliche Schwachstellen und Sicherheitslücken leichter aufzuspüren.

Open Source hat etwas inhärent Gemeinschaftliches: Nur wenige Entwickler schreiben wirklich jede einzelne Zeile Code selbst und greifen stattdessen fast immer auf bereits bestehende Quellen zurück, sei es ein API oder ein bestehendes Open-Source-Projekt. Dies tun zu können, ist eine der größten Errungenschaften, die durch Open Source ermöglicht wurde. Es hat die Grenzen, die die früheren Möglichkeiten eingeschränkt hatten, effizient erodiert und ermöglicht ein neues Arbeiten. Doch das dadurch evozierte, dichte Netz von Abhängigkeiten kann zu beachtlich großen Sicherheitsrisiken und Schwachstellen im System führen.

Selbst große Projekte wie Linux oder Eclipse, die meist von einem großen Team aus Entwicklern betreut werden, sind nicht zwingend vor solchen Gefahren sicher. Auch diese Projekte setzen oft auf kleinere Libraries, die von Privatpersonen in ihrer Freizeit unterhalten werden. Hier kommt es oft dazu, dass durch zeitliche Begrenzungen andere wichtige Punkte ganz nach hinten auf die To-Do-Liste geraten. Dazu gehören meist das Testen der Sicherheit und generelle Wartungsarbeiten, was im schlimmsten Fall zu Dingen wie Heartbleed führen kann.

Lesen Sie auch: GitHub als neue Chatplattform

Und das ist nicht zwingend ein Sonderfall, sondern eher eine Regel. Das Open-Source-Project „Libraries.io“, das sich mit der Erfassung von Abhängigkeiten zwischen kleineren Archives und Libraries befasst, hat festgestellt, dass 3.000 Open-Source-Datenbanken zwar sehr häufig benutzt werden, diese allerdings nur rudimentär gewartet werden. Dies ist Teil der ungesehenen Infrastruktur des Internets, es handelt sich dabei um „die Libraries, auf die sich die gesamte Community stützt, die aber sonst so gut wie keine Beachtung und Aufmerksamkeit erfahren.“

Es ist dann eigentlich wenig verwunderlich, dass Sicherheitsrisiken und Lücken viel leichter zustande kommen und übersehen werden, da es keine größeren Teams für die allgemeine Wartung und Sicherheit der Projekte gibt. Auf diese Weise kann es dann zu einem kaskadenartigen Effekt kommen: die schlechte Absicherung eines Repos, das die Grundlage für größere und populärere Apps ist, gibt diese Risiken dann weiter.

Dependency Graphs und Security Alerts

Im Rahmen der Feierlichkeiten zum Geburtstag von GitHub wurden eine Reihe neuer Features für Entwickler angekündigt, um genau diese Probleme anzugehen. Dabei handelt es sich unter anderem um Dependecy Graph, was nicht nur die Code-Abhängigkeiten des eigenen Projektes im Auge behält, sondern reziprok auch darauf achtet, welche anderen Projekte mit dem eigenen Code arbeiten. So wird offensichtlich, wie verwoben zunächst eigenständig wirkende Projekte in Wahrheit sind. Derzeit ist es möglich, die Ruby- und JavaScript-Dependencys eines Projektes anzuzeigen, ebenfalls geplant ist der Support für Python.

Mit dem letzten Update wurde zudem Security Alert in die Abhängigkeitsübersichten eingebettet. Gibt es in einem Package oder einer Anwendung öffentlich bekannte Sicherheitsschwächen, wird dies per Flag im eigenen Dependency Chart angezeigt. Somit können Entwickler leicht feststellen, ob sie auf der sicheren Seite sind oder sie mit der Nutzung ein Risiko eingehen.

Für öffentliche Repositorys sind die vorgestellten Abhängigkeitsübersichten und Sicherheitswarnungen automatisch aktiv; für private Repositorys muss die Nutzung manuell aktiviert werden.

Quelle: GitHub

Eins sollte allerdings klargestellt werden, dass es sich bei diesen Vorkehrungen, nicht um ein Allheilmittel handelt. Lediglich Sicherheitsrisiken mit einer CVE ID (bekannte Schwachstellen aus der National Vulnerability Database) werden per Security Alert gemeldet. Es wurde bereits darauf hingewiesen, dass dieses System über einen heftigen Makel verfügt, denn nicht alle Schwachstellen haben eine CVE ID. Selbst der bekannten Schwachstellen werden vermutlich nie eine solche ID erhalten. So sei es jedem Entwickler geraten, trotz aller Hilfen ein wachsames Auge auf ihren Code zu haben.

Weitere Informationen zu den neuen Funktionen gibt es natürlich auf GitHub.

Geschrieben von
Jane Elizabeth
Jane Elizabeth
Jane Elizabeth ist eine Redaktionsassistentin für JAXenter.com
Kommentare

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht.