Abgleich von Code-Repositories und CVEs

GitHub warnt bei Schwachstellen in Ruby und JavaScript

| Autor: Stephan Augsten

Findet GitHub in Code-Repositories anfällige Ruby- und JavaScript-Bibliotheken, dann werden die Projektbetreuer zeitnah gewarnt.
Findet GitHub in Code-Repositories anfällige Ruby- und JavaScript-Bibliotheken, dann werden die Projektbetreuer zeitnah gewarnt. (Bild: GitHub)

Greift man bei der Programmierung auf bestehende Code-Bibliotheken zurück, kann man sich leicht Sicherheitslücken an Bord holen. GitHub geht im Falle von RubyGems für Ruby und npm für Javascript aktiv mit Security Alerts dagegen vor und hat jüngst ein paar Zahlen hierzu veröffentlicht.

Erst im vergangenen Jahr hat GitHub eine aktive Rolle bei der Alarmierung von Projektbetreuern bekannter Bibliotheken in RubyGems für Ruby und npm für Javascript übernommen. Findet der Code-Hoster in der Liste der Common Vulnerabilities and Exposures (CVEs) Ruby- und JavaScript-Schwachstellen, die in verbreiteten Repositories, schickt er eine Sicherheitswarnung an den Projektbetreuer.

Zunächst wurde die Liste der gefährdeten Bibliotheken mit den Abhängigkeitsgraphen aller öffentlichen Repositories abgeglichen, schreibt die GitHub-Mitarbeiterin „msantosm“: "Wir haben über vier Millionen Schwachstellen in über 500.000 Repositories gefunden und eine Warnung an Repository-Administratoren in ihren Abhängigkeitsgraphen und Repository-Homepages (für Ruby und Javascript) angezeigt."

Schon kurz nach dem Start seien über 450.000 identifizierte Schwachstellen von Repository-Besitzern behoben worden. Entweder wurde dabei die Abhängigkeit beseitigt oder auf eine sichere Code-Basis umgestellt. Denn in fast allen Fällen existiert bereits eine gepatchte Version der betroffenen Ruby- oder JavaScript-Bibliothek, die GitHub im Alert empfiehlt.

„Seitdem liegt unsere Rate der in den ersten sieben Tagen der Erkennung behobenen Schwachstellen bei etwa 30 Prozent“, heißt es im Blog. „Zusätzlich werden 15 Prozent der Alarme innerhalb von sieben Tagen abgewiesen, was bedeutet, dass fast die Hälfte aller Alarme innerhalb einer Woche beantwortet wird.“ Von den verbleibenden Alerts gehörten die meisten zu Repositories, die in den letzten 90 Tagen keinen Beitrag geleistet hätten.

Seit Neuestem informiert GitHub sowohl Betreuer als auch Sicherheitsteams zusätzlich direkt über Schwachstellen-Digest-E-Mails. Weitere Sicherheitsverbesserungen sollen folgen.

Kommentare werden geladen....

Kommentar zu diesem Artikel

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 45209253 / Application Security)