Sicherheitswarnungen bei anfälligem Code

GitHub alarmiert auch bei Python-Schwachstellen

| Autor: Stephan Augsten

Projekteigentümer werden darüber alarmiert, wenn ihre Code-Repositories in Abhängigkeit zu sicherheitskritischen Python-Paketen stehen.
Projekteigentümer werden darüber alarmiert, wenn ihre Code-Repositories in Abhängigkeit zu sicherheitskritischen Python-Paketen stehen. (Bild: GitHub)

GitHub-Nutzer, deren Software-Repositories von Python-Paketen mit bekannten Sicherheitslücken abhängen, erhalten künftig entsprechende Sicherheitswarnungen. Bislang war die Alarmierung bei sicherheitskritischen Abhängigkeiten nur für Ruby- und JavaScript-Pakete verfügbar.

Im Zuge der Sicherheitsstrategie, anfällige Ruby- und JavaScript-Abhängigkeiten zu melden, konnten laut GitHub Millionen Schwachstellen identifiziert und Patches veranlasst werden. Von entsprechenden Sicherheitswarnungen sollen nun auch Python-Nutzer profitieren. Python-Programmierer können also nunmehr auf den Abhängigkeitsgraphen zugreifen und werden automatisch alarmiert.

Umgesetzt wird dies zunächst einmal mit neu gemeldeten Schwachstellen. In den kommenden Wochen will GitHub aber auch historische Python-Schwachstellen in die Datenbank aufnehmen. Darüber hinaus wolle man künftig den Feed der National Vulnerability Database (NVD) sowie andere Quellen überwachen. GitHub-Benutzer erhalten auf dieser Basis aktiv Benachrichtigungen über neu entdeckte Schwachstellen in Python-Paketen.

Um die Sicherheitswarnungen zu erhalten, müssen GitHub-Nutzer sicherstellen, dass Sie eine requirements.txt- oder Pipfile.lock-Datei innerhalb ihrer Repositories mit Python-Code eingecheckt haben. In öffentlich zugänglichen Repositories sind Abhängigkeitsgraphen und Sicherheitswarnungen laut GitHub automatisch aktiviert. Hoster eines privaten Repositories müssen die Alarme in den Repository-Einstellungen manuell aktivieren oder im Abhängigkeitsdiagrammbereich der Registerkarte „Insights“ den Zugriff auf das Repository erlauben.

Wenn Sicherheitswarnungen aktiviert sind, erhalten Administratoren standardmäßig Sicherheitswarnungen. Über die Registerkarte „Warnings“ in den Repository-Einstellungen können Administratoren sowohl Teams als auch Einzelpersonen als Empfänger für hinzufügen. Über die Benachrichtigungseinstellungen können Nutzer auch Einfluss auf die Art und Häufigkeit der Mitteilungen nehmen.

Weitere Informationen finden sich in der GitHub-Dokumentation zu Schwachstellen-Abhängigkeiten.

Kommentare werden geladen....

Kommentar zu diesem Artikel

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 45400475 / Quellcode-Management)