Sicherheitswarnungen bei anfälligem Code GitHub alarmiert auch bei Python-Schwachstellen
GitHub-Nutzer, deren Software-Repositories von Python-Paketen mit bekannten Sicherheitslücken abhängen, erhalten künftig entsprechende Sicherheitswarnungen. Bislang war die Alarmierung bei sicherheitskritischen Abhängigkeiten nur für Ruby- und JavaScript-Pakete verfügbar.
Anbieter zum Thema

Im Zuge der Sicherheitsstrategie, anfällige Ruby- und JavaScript-Abhängigkeiten zu melden, konnten laut GitHub Millionen Schwachstellen identifiziert und Patches veranlasst werden. Von entsprechenden Sicherheitswarnungen sollen nun auch Python-Nutzer profitieren. Python-Programmierer können also nunmehr auf den Abhängigkeitsgraphen zugreifen und werden automatisch alarmiert.
Umgesetzt wird dies zunächst einmal mit neu gemeldeten Schwachstellen. In den kommenden Wochen will GitHub aber auch historische Python-Schwachstellen in die Datenbank aufnehmen. Darüber hinaus wolle man künftig den Feed der National Vulnerability Database (NVD) sowie andere Quellen überwachen. GitHub-Benutzer erhalten auf dieser Basis aktiv Benachrichtigungen über neu entdeckte Schwachstellen in Python-Paketen.
Um die Sicherheitswarnungen zu erhalten, müssen GitHub-Nutzer sicherstellen, dass Sie eine requirements.txt- oder Pipfile.lock-Datei innerhalb ihrer Repositories mit Python-Code eingecheckt haben. In öffentlich zugänglichen Repositories sind Abhängigkeitsgraphen und Sicherheitswarnungen laut GitHub automatisch aktiviert. Hoster eines privaten Repositories müssen die Alarme in den Repository-Einstellungen manuell aktivieren oder im Abhängigkeitsdiagrammbereich der Registerkarte „Insights“ den Zugriff auf das Repository erlauben.
Wenn Sicherheitswarnungen aktiviert sind, erhalten Administratoren standardmäßig Sicherheitswarnungen. Über die Registerkarte „Warnings“ in den Repository-Einstellungen können Administratoren sowohl Teams als auch Einzelpersonen als Empfänger für hinzufügen. Über die Benachrichtigungseinstellungen können Nutzer auch Einfluss auf die Art und Häufigkeit der Mitteilungen nehmen.
Weitere Informationen finden sich in der GitHub-Dokumentation zu Schwachstellen-Abhängigkeiten.
(ID:45400475)