:quality(80)/images.vogel.de/vogelonline/bdb/1759300/1759343/original.jpg "Dev-Insider hat am 21. Oktober die Dev-Insider Readers' Choice Awards vergeben.")
:quality(80)/images.vogel.de/vogelonline/bdb/1752700/1752730/original.jpg "Bitte notieren: Am 21. Oktober 2020, ab 13:00 Uhr, erhalten die Gewinner der diesjährigen Leserwahl den Readers' Choice Dev-Insider Award 2020.")
:quality(80)/images.vogel.de/vogelonline/bdb/1631400/1631447/original.jpg "Dev-Insider AWARDS 2019")
:quality(80)/images.vogel.de/vogelonline/bdb/1625800/1625869/original.jpg "Award-Logo Dev-Insider")
:quality(80)/images.vogel.de/vogelonline/bdb/1756600/1756668/original.jpg "Etliche Chaos-Engineering-Tools basieren auf der Idee des IT-Spezialisten Antonio Garcia Martinez, dass Affen eine Software nutzen und Fehler provzieren.")
:quality(80)/images.vogel.de/vogelonline/bdb/1749900/1749971/original.jpg "Eine Methode bestimmt das Verhalten eines Objekts oder einer ganzen Klasse, auf unser Fahrrad-Beispiel bezogen beispielsweise das Beschleunigen oder Lenken.")
:quality(80)/images.vogel.de/vogelonline/bdb/1745400/1745439/original.jpg "Groupware sorgt in Arbeitsgruppen und auch Team-übergreifend für eine gelungene Kommunikation und Zusammenarbeit.")
:quality(80)/images.vogel.de/vogelonline/bdb/1757200/1757274/original.jpg "Mit verschiedenen Leistungen und Lösungen unterstützt Exadel dabei, Prozesse zu Software-Qualitätssicherung zu automatisieren.")
:quality(80)/images.vogel.de/vogelonline/bdb/1753700/1753759/original.jpg "Mit nur einer Zeile JavaScript-Code lässt sich ein tiefgreifendes Nutzer-Tracking umsetzen.")
:quality(80)/images.vogel.de/vogelonline/bdb/1753100/1753127/original.jpg "Google verspricht sich durch die APVI ein besseres Schwachstellen-Management in Drittanbieter-Versionen von Android.")
:quality(80)/images.vogel.de/vogelonline/bdb/1751700/1751792/original.jpg "Webhooks eignen sich wunderbar dafür, andere Ereignisse wie automatisierte Benachrichtigungen anzutriggern.")
:quality(80)/images.vogel.de/vogelonline/bdb/1752000/1752042/original.jpg "Erweiterungen für MATLAB installieren.")
:quality(80)/images.vogel.de/vogelonline/bdb/1757100/1757152/original.jpg "Ein Database Inspector und weitere neue Funktionen von Android Studio 4.1 sollen für eine bessere User Experience sorgen.")
:quality(80)/images.vogel.de/vogelonline/bdb/1756100/1756113/original.jpg "Lehrinhalte und weitere Ressourcen von Microsoft sollen Game Developer an .NET heranführen.")
:quality(80)/images.vogel.de/vogelonline/bdb/1751100/1751143/original.jpg "Lokale Rechner lassen sich mit der Visual-Studio-Funktion „Bridge to Kubernetes“ in Container Cluster einbinden.")
:quality(80)/images.vogel.de/vogelonline/bdb/1740700/1740745/original.jpg "Die Idee hinter dem Service Mesh ist es, übergreifende Funktionen einer Microservice-Architektur in die Infrastrukturebene auszulagern.")
:quality(80)/images.vogel.de/vogelonline/bdb/1733300/1733372/original.jpg "Der Software-Delivery-Prozess hat sich dank Internet, Smartphones und vielseitigeren Betriebssysteme fortlaufend verbessert.")
:quality(80)/images.vogel.de/vogelonline/bdb/1755400/1755440/original.jpg "Automatisierung vereinfacht einerseits das Teamwork und hilft gleichzeitig, Berechtigungen durchzusetzen und Sicherheitsverstöße zu verfolgen.")
:quality(80)/images.vogel.de/vogelonline/bdb/1756300/1756308/original.jpg "Das Monitoring-Tool SearchLight meldet nun, wenn Code-Repository-Zugangsdaten in irgendeiner Form öffentlich gemacht wurden.")
:quality(80)/images.vogel.de/vogelonline/bdb/1752200/1752243/original.jpg "ngrok, der Sinatra-Code und der laufende Sinatra-Server – eigentlich simpel.")
:quality(80)/images.vogel.de/vogelonline/bdb/1749300/1749316/original.jpg "Revenera hat untersucht, welche Strategien die Softwarehersteller beim Verkauf ihrer Lösungen verfolgen.")
:quality(80)/images.vogel.de/vogelonline/bdb/1747200/1747258/original.jpg "Ohne Open-Source-Projekte lägen wir technisch weiter zurück, meint Linux-Spezialist Red Hat.")
:quality(80)/images.vogel.de/vogelonline/bdb/1739800/1739830/original.jpg "Software mit Langzeitunterstützung erhält in einem zugesagten Zeitraum wichtige Updates, aber selten neue Funktionen.")
Abgleich von Code-Repositories und CVEs GitHub warnt bei Schwachstellen in Ruby und JavaScript
Greift man bei der Programmierung auf bestehende Code-Bibliotheken zurück, kann man sich leicht Sicherheitslücken an Bord holen. GitHub geht im Falle von RubyGems für Ruby und npm für Javascript aktiv mit Security Alerts dagegen vor und hat jüngst ein paar Zahlen hierzu veröffentlicht.
Firma zum Thema
:fill(fff,0)/images.vogel.de/vogelonline/companyimg/107300/107370/65.png "pressebox_600x600_v2.png")
(Bild: GitHub)
Erst im vergangenen Jahr hat GitHub eine aktive Rolle bei der Alarmierung von Projektbetreuern bekannter Bibliotheken in RubyGems für Ruby und npm für Javascript übernommen. Findet der Code-Hoster in der Liste der Common Vulnerabilities and Exposures (CVEs) Ruby- und JavaScript-Schwachstellen, die in verbreiteten Repositories, schickt er eine Sicherheitswarnung an den Projektbetreuer.
Zunächst wurde die Liste der gefährdeten Bibliotheken mit den Abhängigkeitsgraphen aller öffentlichen Repositories abgeglichen, schreibt die GitHub-Mitarbeiterin „msantosm“: "Wir haben über vier Millionen Schwachstellen in über 500.000 Repositories gefunden und eine Warnung an Repository-Administratoren in ihren Abhängigkeitsgraphen und Repository-Homepages (für Ruby und Javascript) angezeigt."
Schon kurz nach dem Start seien über 450.000 identifizierte Schwachstellen von Repository-Besitzern behoben worden. Entweder wurde dabei die Abhängigkeit beseitigt oder auf eine sichere Code-Basis umgestellt. Denn in fast allen Fällen existiert bereits eine gepatchte Version der betroffenen Ruby- oder JavaScript-Bibliothek, die GitHub im Alert empfiehlt.
„Seitdem liegt unsere Rate der in den ersten sieben Tagen der Erkennung behobenen Schwachstellen bei etwa 30 Prozent“, heißt es im Blog. „Zusätzlich werden 15 Prozent der Alarme innerhalb von sieben Tagen abgewiesen, was bedeutet, dass fast die Hälfte aller Alarme innerhalb einer Woche beantwortet wird.“ Von den verbleibenden Alerts gehörten die meisten zu Repositories, die in den letzten 90 Tagen keinen Beitrag geleistet hätten.
Seit Neuestem informiert GitHub sowohl Betreuer als auch Sicherheitsteams zusätzlich direkt über Schwachstellen-Digest-E-Mails. Weitere Sicherheitsverbesserungen sollen folgen.
(ID:45209253)
:quality(80)/p7i.vogel.de/ial_5ycCAZEVpZgBjYsrauYxj5s=/500x500/wcms/6e/13/6e13f2c9a54074/profile-image.jpg "Stephan Augsten")
:quality(80)/images.vogel.de/vogelonline/bdb/1574700/1574745/original.jpg "Flatpak-basierte Apps lassen sich anschließend über die Webseite Flathub.org installieren. Mit Klick auf einen Eintrag ...")
:quality(80)/images.vogel.de/vogelonline/bdb/1497600/1497654/original.jpg "Das etcd-Projekt liegt bereits quelloffen bei GitHub, wird aber künftig durch die Cloud Native Coputing Foundation betreut.")
:quality(80)/images.vogel.de/vogelonline/bdb/1474500/1474550/original.jpg "Mit der aktuellen Verbreitung von Development-Umgebungen und -Tools im Java-Umfeld befasst sich eine aktuelle Studie von Snyk.")
:quality(80)/images.vogel.de/vogelonline/bdb/1716200/1716247/original.jpg "Mit SearchLight ist es möglich, die unautorisierte Offenlegung von Source Code aufzuspüren.")
:quality(80)/images.vogel.de/vogelonline/bdb/1756300/1756308/original.jpg "Das Monitoring-Tool SearchLight meldet nun, wenn Code-Repository-Zugangsdaten in irgendeiner Form öffentlich gemacht wurden.")