:quality(80)/images.vogel.de/vogelonline/bdb/1883400/1883452/original.jpg "Die Gewinner der diesjährigen IT-Awards stehen fest – und hier sind Ihre Dev-Insider-Preisträger:")
-
IT-Awards
/cdn4.vogel.de/infinity/white.jpg "Die Gewinner der diesjährigen IT-Awards stehen fest – und hier sind Ihre Dev-Insider-Preisträger:")
-
Specials
-
Development
Das JavaScript-Framework Vue.js, Teil 11
-
DevOps
-
Cloud Native
-
Management
-
Solution Stack
Das JavaScript-Framework Vue.js, Teil 11
Warum wählen, wenn man beides haben kann
Das JavaScript-Framework Vue.js, Teil 10
-
Technologien
Blockchain in die Unternehmensstruktur integrieren
Anwendungsentwicklung ohne Code
- News
- eBooks
- Mediathek
- CIO Briefing
- Forum
- Akademie
:quality(80)/images.vogel.de/vogelonline/bdb/1883900/1883949/original.jpg "Am 21. Oktober 2021 ab 13:00 Uhr erhalten die Gewinner der diesjährigen Leserwahl den Readers' Choice Dev-Insider Award 2021.")
:quality(80)/images.vogel.de/vogelonline/bdb/1759300/1759342/original.jpg "Dev-Insider hat am 21. Oktober die Dev-Insider Readers' Choice Awards vergeben.")
:quality(80)/images.vogel.de/vogelonline/bdb/1752700/1752730/original.jpg "Bitte notieren: Am 21. Oktober 2020, ab 13:00 Uhr, erhalten die Gewinner der diesjährigen Leserwahl den Readers' Choice Dev-Insider Award 2020.")
:quality(80)/p7i.vogel.de/wcms/27/e5/27e5a36b34684a188d64e6a577a66fbc/0105026884.jpeg "0105026884")
:quality(80)/p7i.vogel.de/wcms/ed/20/ed20a3a5242d9a52cbeaab5101c5954c/0104929225.jpeg "0104929225")
:quality(80)/p7i.vogel.de/wcms/c2/86/c286ec891359ebacb874984af6554b78/0104741265.jpeg "0104741265")
:quality(80)/p7i.vogel.de/wcms/9a/6f/9a6fdec64255e6cc21c251ec1b740ad2/0104966961.jpeg "0104966961")
:quality(80)/p7i.vogel.de/wcms/0c/fd/0cfd6b23424a2998d9d8f0c381f12923/0104679161.jpeg "0104679161")
:quality(80)/p7i.vogel.de/wcms/55/72/55720289e6a3d73a0bc3165966c3ec67/0105157248.jpeg "0105157248")
:quality(80)/p7i.vogel.de/wcms/c7/77/c7777327e05558a523e0d1561d34eee6/0105380843.jpeg "0105380843")
:quality(80)/p7i.vogel.de/wcms/7a/da/7adae20b51fadf20bd0c58ce6dcb4a1a/0105146308.jpeg "0105146308")
:quality(80)/p7i.vogel.de/wcms/ce/fd/cefdacbdf30c4ba84da58f8e2b9ebf00/0103441599.jpeg "0103441599")
:quality(80)/p7i.vogel.de/wcms/3f/bf/3fbf79df6516993cc3376c5c3a325950/0104907061.jpeg "0104907061")
:quality(80)/p7i.vogel.de/wcms/af/d0/afd0daf13bd3efc1554332338b2b4f13/0105077694.jpeg "0105077694")
:quality(80)/p7i.vogel.de/wcms/02/0d/020d7e20e95a46821daea91bc7a94cb5/0105127245.jpeg "0105127245")
:quality(80)/p7i.vogel.de/wcms/8c/7d/8c7d253fe1a4916236658b83ebcb3052/0104165462.jpeg "0104165462")
:quality(80)/p7i.vogel.de/wcms/a1/53/a153bc8ed102c1f37379b4dd5105fb39/0104217805.jpeg "0104217805")
:quality(80)/p7i.vogel.de/wcms/6e/4b/6e4baba566b41889049f0c6f14656989/0105110257.jpeg "0105110257")
:quality(80)/p7i.vogel.de/wcms/f1/3f/f13f471b47cd036d836898ad8bd7d4c9/0105030490.jpeg "0105030490")
:quality(80)/p7i.vogel.de/wcms/78/22/7822405563b0d7e2b9267ebc481e66f1/0104607781.jpeg "0104607781")
Abgleich von Code-Repositories und CVEs GitHub warnt bei Schwachstellen in Ruby und JavaScript
Greift man bei der Programmierung auf bestehende Code-Bibliotheken zurück, kann man sich leicht Sicherheitslücken an Bord holen. GitHub geht im Falle von RubyGems für Ruby und npm für Javascript aktiv mit Security Alerts dagegen vor und hat jüngst ein paar Zahlen hierzu veröffentlicht.
(Bild: GitHub)
Erst im vergangenen Jahr hat GitHub eine aktive Rolle bei der Alarmierung von Projektbetreuern bekannter Bibliotheken in RubyGems für Ruby und npm für Javascript übernommen. Findet der Code-Hoster in der Liste der Common Vulnerabilities and Exposures (CVEs) Ruby- und JavaScript-Schwachstellen, die in verbreiteten Repositories, schickt er eine Sicherheitswarnung an den Projektbetreuer.
Zunächst wurde die Liste der gefährdeten Bibliotheken mit den Abhängigkeitsgraphen aller öffentlichen Repositories abgeglichen, schreibt die GitHub-Mitarbeiterin „msantosm“: "Wir haben über vier Millionen Schwachstellen in über 500.000 Repositories gefunden und eine Warnung an Repository-Administratoren in ihren Abhängigkeitsgraphen und Repository-Homepages (für Ruby und Javascript) angezeigt."
Schon kurz nach dem Start seien über 450.000 identifizierte Schwachstellen von Repository-Besitzern behoben worden. Entweder wurde dabei die Abhängigkeit beseitigt oder auf eine sichere Code-Basis umgestellt. Denn in fast allen Fällen existiert bereits eine gepatchte Version der betroffenen Ruby- oder JavaScript-Bibliothek, die GitHub im Alert empfiehlt.
„Seitdem liegt unsere Rate der in den ersten sieben Tagen der Erkennung behobenen Schwachstellen bei etwa 30 Prozent“, heißt es im Blog. „Zusätzlich werden 15 Prozent der Alarme innerhalb von sieben Tagen abgewiesen, was bedeutet, dass fast die Hälfte aller Alarme innerhalb einer Woche beantwortet wird.“ Von den verbleibenden Alerts gehörten die meisten zu Repositories, die in den letzten 90 Tagen keinen Beitrag geleistet hätten.
Seit Neuestem informiert GitHub sowohl Betreuer als auch Sicherheitsteams zusätzlich direkt über Schwachstellen-Digest-E-Mails. Weitere Sicherheitsverbesserungen sollen folgen.
Aufklappen für Details zu Ihrer Einwilligung
(ID:45209253)
:quality(80)/images.vogel.de/vogelonline/bdb/1939600/1939609/original.jpg "Die Code-Scanning-Enginge CodeQL soll sowohl in der Tiefe als auch in der Breite bessere Code-Analysen auf Github erlauben.")
:quality(80)/images.vogel.de/vogelonline/bdb/1905200/1905230/original.jpg "Sicherheit muss bei der Auswahl ihrer Open Source Libraries durch Entwickler oberste Priorität genießen.")