Fehler in Open-Source-Abhängigkeiten erkennen GitLab stellt Package Hunter öffentlich bereit

Redakteur: Stephan Augsten

Mit der Verwendung von Open-Source-Komponenten geht die Gefahr einher, fehlerhaften oder bösartigen Code zu integrieren. GitLab bietet mit dem Package Hunter fortan die Möglichkeit, die Abhängigkeiten auf derartige Probleme hin zu prüfen.

Firmen zum Thema

GitLab Package Hunter erkennt fehlerhafte und böswillige Open-Source-Abhängigkeiten.
GitLab Package Hunter erkennt fehlerhafte und böswillige Open-Source-Abhängigkeiten.
(Bild: GitLab)

GitLab selbst hat den Package Hunter seit November 2020 testhalber im Einsatz, um die GitLab-Abhängigkeiten zu prüfen. Nun stellt GitLab Package Hunter der breiteren Community öffentlich zur Verfügung, damit die Entwicklerinnen und Entwickler es nutzen und Feedback geben können. Ein Ziel ist es GitLab zufolge, das allgemeine Vertrauen in die Open-Source-Lieferketten zu stärken.

Fehlerhafte oder bösartige Abhängigkeiten lassen sich mit dem Package Hinter erkennen, bevor sie Schaden anrichten können. Dies betrifft z.B. Code aus externen Bibliotheken, den Entwickler verwenden, um ihrer Anwendung zusätzliche Funktionen hinzuzufügen.

Hierfür installiert der Package Hunter die Abhängigkeiten in einer Sandbox-Umgebung und überwacht die während der Installation ausgeführten Systemaufrufe. Verdächtige Systemaufrufe werden dem Benutzer zur weiteren Prüfung gemeldet. Package Hunter unterstützt derzeit das Testen von NodeJS-Modulen und Ruby Gems.

Package Hunter ist kostenlos und im Quelltext verfügbar. Wenn Nutzer also einen Fehler finden oder Vorschläge haben, möchte GitLab gerne davon erfahren. Benutzer können einen Hunter-Auftrag zu einem Projekt hinzufügen, indem sie das GitLab CI-Template verwenden und den Setup-Anweisungen folgen

Weitere Infonationen finden Interessierte im englischen Blog-Beitrag zum Package Hunter.

(ID:47543470)