Suchen

Kommentar von Tim Mackey von Black Duck „GitHub Security Alerts – ein Schritt in die richtige Richtung“

Autor / Redakteur: Tim Mackey * / Stephan Augsten

Um in der Open-Source-Welt für mehr Sicherheit zu sorgen, warnt GitHub seit vergangenem Jahr aktiv vor Schwachstellen in RubyGems for Ruby und npm for JavaScript. Tim Mackey, Technology Evangelist bei Black Duck by Synopsys, begrüßt die Initiative, sieht aber auch Verbesserungsbedarf.

Firmen zum Thema

Tim Mackey: „Es ist wichtig, die Grenzen von GitHub Security Alerts zu verstehen.“
Tim Mackey: „Es ist wichtig, die Grenzen von GitHub Security Alerts zu verstehen.“
(Bild: simplu - Pixabay.com / Black Duck / CC0 )

„Generell befürworten wir Initiativen wie GitHub Security Alerts, da sie Open-Source-Projektteams dabei helfen sollen, sichereren Code zu erstellen. Open Source ist allgegenwärtig und spielt eine zunehmend entscheidende Rolle im Software-Ökosystem.

Alle Maßnahmen, die die Open-Source-Sicherheit stärken, sollten dementsprechend begrüßt werden. Es sei nur am Rande erwähnt, dass Black Duck by Synopsys mit CoPilot einen ähnlichen kostenfreien Service für Open-Source-Projektteams bietet.

Die ersten Ergebnisse von GitHub Security Alerts stellen einen wesentlichen Schritt in die richtige Richtung dar. Es ist dennoch wichtig die Grenzen dieses Ansatzes zu verstehen und dass es noch mehr zu tun gibt, wenn es um die Verwaltung von Open-Source-Sicherheit geht:

  • GitHub Security Alerts beschränkt sich auf CVEs, die in der National Vulnerability Database (NVM) gemeldet werden. Dies ist aber nur ein Teil der gesamten bekannten Sicherheitslücken und diese werden zudem erst Tage oder Wochen nach der Offenlegung veröffentlicht.
  • Nützlich ist GitHub Security Alerts für Entwickler, die aktiv an Softwareprojekten arbeiten. Für Anwendungen, die bereits in Produktion sind, gibt es allerdings keine Warnungen, was ein wesentlicher Unterschied ist.
  • Für Organisationen oder kommerzielle Softwareprojekte, die Open-Source-Komponenten nutzen, ist die Initiative von GitHub eine gute Nachricht – aber keine Garantie. Es bleibt unbekannt, welche Open-Source-Dependencies von dem Dienst profitieren oder ob sie anderweitig gepatcht oder abgespalten wurden. Die Schwachstellen, die „zu Repositories gehören, zu denen in den letzten 90 Tagen kein Beitrag geleistet wurde“, könnten zu Sicherheitslücken führen, die zu einem Code-Zweig gehören, der nicht aktiv gepflegt wurde. Um sicher zu gehen, sollte man ein Enterprise-Tool verwenden, um alle Open-Source-Bestandteile in der Codebasis zu identifizieren und sie in einer umfassenden Schwachstellen-Datenbank zu verzeichnen.
  • Der Service richtet sich nur an Nutzer von GitHub-Quellcode-Repositories für JavaScript und Ruby-Projekte und zudem ist ein Paketmanager wie RubyGems oder npm erforderlich. Öffentliche Repositories erhalten es automatisch, aber für private Repositories ist ein „opt-in“ erforderlich. Obwohl GitHub für eine ausgewählte Anzahl von Projekten Warnungen ausgegeben hat und eindeutig daran arbeitet, das Sicherheitsbewusstsein innerhalb ihrer substanziellen Benutzerbasis zu verbessern – man muss ein Teil des GitHub-Ökosystems sein, um diese Warnungen zu nutzen.
  • Im Rahmen von Governance Policies cachen Unternehmen „als funktionierend bekannte“ Versionen von Komponenten, die auf lokalen Repositories beruhen. Dies geschieht teilweise, um die Funktions- und API-Kompatibilität sicherzustellen, aber auch als Schutz davor, dass das externe Repository aus irgendeinem Grund entfernt wird. Andere Software-Composition-Analysis-Lösungen wie Black Duck setzen Paketmanager-Informationen ein, soweit diese vorhanden sind, sind jedoch mit dem Verständnis konzipiert, dass Paketmanager häufig keine vollständige Sicht auf den verwendeten Open-Source-Code und letztlich die damit verbundenen Abhängigkeiten haben.“

* Tim Mackey ist Technology Evangelist bei Black Duck by Synopsy

(ID:45218687)