Mit der Verwendung von Open-Source-Komponenten geht die Gefahr einher, fehlerhaften oder bösartigen Code zu integrieren. GitLab bietet mit dem Package Hunter fortan die Möglichkeit, die Abhängigkeiten auf derartige Probleme hin zu prüfen.
GitLab Package Hunter erkennt fehlerhafte und böswillige Open-Source-Abhängigkeiten.
(Bild: GitLab)
GitLab selbst hat den Package Hunter seit November 2020 testhalber im Einsatz, um die GitLab-Abhängigkeiten zu prüfen. Nun stellt GitLab Package Hunter der breiteren Community öffentlich zur Verfügung, damit die Entwicklerinnen und Entwickler es nutzen und Feedback geben können. Ein Ziel ist es GitLab zufolge, das allgemeine Vertrauen in die Open-Source-Lieferketten zu stärken.
Fehlerhafte oder bösartige Abhängigkeiten lassen sich mit dem Package Hinter erkennen, bevor sie Schaden anrichten können. Dies betrifft z.B. Code aus externen Bibliotheken, den Entwickler verwenden, um ihrer Anwendung zusätzliche Funktionen hinzuzufügen.
Hierfür installiert der Package Hunter die Abhängigkeiten in einer Sandbox-Umgebung und überwacht die während der Installation ausgeführten Systemaufrufe. Verdächtige Systemaufrufe werden dem Benutzer zur weiteren Prüfung gemeldet. Package Hunter unterstützt derzeit das Testen von NodeJS-Modulen und Ruby Gems.
Package Hunter ist kostenlos und im Quelltext verfügbar. Wenn Nutzer also einen Fehler finden oder Vorschläge haben, möchte GitLab gerne davon erfahren. Benutzer können einen Hunter-Auftrag zu einem Projekt hinzufügen, indem sie das GitLab CI-Template verwenden und den Setup-Anweisungen folgen
Es ist für uns eine Selbstverständlichkeit, dass wir verantwortungsvoll mit Ihren personenbezogenen Daten umgehen. Sofern wir personenbezogene Daten von Ihnen erheben, verarbeiten wir diese unter Beachtung der geltenden Datenschutzvorschriften. Detaillierte Informationen finden Sie in unserer Datenschutzerklärung.
Einwilligung in die Verwendung von Daten zu Werbezwecken
Ich bin damit einverstanden, dass die Vogel IT-Medien GmbH, Max-Josef-Metzger-Straße 21, 86157 Augsburg, einschließlich aller mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen (im weiteren: Vogel Communications Group) meine E-Mail-Adresse für die Zusendung von redaktionellen Newslettern nutzt. Auflistungen der jeweils zugehörigen Unternehmen können hier abgerufen werden.
Der Newsletterinhalt erstreckt sich dabei auf Produkte und Dienstleistungen aller zuvor genannten Unternehmen, darunter beispielsweise Fachzeitschriften und Fachbücher, Veranstaltungen und Messen sowie veranstaltungsbezogene Produkte und Dienstleistungen, Print- und Digital-Mediaangebote und Services wie weitere (redaktionelle) Newsletter, Gewinnspiele, Lead-Kampagnen, Marktforschung im Online- und Offline-Bereich, fachspezifische Webportale und E-Learning-Angebote. Wenn auch meine persönliche Telefonnummer erhoben wurde, darf diese für die Unterbreitung von Angeboten der vorgenannten Produkte und Dienstleistungen der vorgenannten Unternehmen und Marktforschung genutzt werden.
Falls ich im Internet auf Portalen der Vogel Communications Group einschließlich deren mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen geschützte Inhalte abrufe, muss ich mich mit weiteren Daten für den Zugang zu diesen Inhalten registrieren. Im Gegenzug für diesen gebührenlosen Zugang zu redaktionellen Inhalten dürfen meine Daten im Sinne dieser Einwilligung für die hier genannten Zwecke verwendet werden.
Recht auf Widerruf
Mir ist bewusst, dass ich diese Einwilligung jederzeit für die Zukunft widerrufen kann. Durch meinen Widerruf wird die Rechtmäßigkeit der aufgrund meiner Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt. Um meinen Widerruf zu erklären, kann ich als eine Möglichkeit das unter https://support.vogel.de abrufbare Kontaktformular nutzen. Sofern ich einzelne von mir abonnierte Newsletter nicht mehr erhalten möchte, kann ich darüber hinaus auch den am Ende eines Newsletters eingebundenen Abmeldelink anklicken. Weitere Informationen zu meinem Widerrufsrecht und dessen Ausübung sowie zu den Folgen meines Widerrufs finde ich in der Datenschutzerklärung, Abschnitt Redaktionelle Newsletter.
:quality(80)/images.vogel.de/vogelonline/bdb/1883400/1883452/original.jpg "Die Gewinner der diesjährigen IT-Awards stehen fest – und hier sind Ihre Dev-Insider-Preisträger: (Vogel IT-Medien)")
:quality(80)/images.vogel.de/vogelonline/bdb/1883900/1883949/original.jpg "Am 21. Oktober 2021 ab 13:00 Uhr erhalten die Gewinner der diesjährigen Leserwahl den Readers' Choice Dev-Insider Award 2021. (Vogel IT-Medien)")
:quality(80)/images.vogel.de/vogelonline/bdb/1759300/1759342/original.jpg "Dev-Insider hat am 21. Oktober die Dev-Insider Readers' Choice Awards vergeben. (Vogel IT-Medien GmbH)")
:quality(80)/images.vogel.de/vogelonline/bdb/1752700/1752730/original.jpg "Bitte notieren: Am 21. Oktober 2020, ab 13:00 Uhr, erhalten die Gewinner der diesjährigen Leserwahl den Readers' Choice Dev-Insider Award 2020. (Vogel IT-Medien GmbH)")
:quality(80)/p7i.vogel.de/wcms/42/a7/42a7d0b65b2e947c27509c05c90f2af8/0106513112.jpeg "Das User-Verhalten hat sowohl für den Bereich User Experience Design als auch für die IT-Sicherheit hohe Aussagekraft. (Bild: kaleidico)")
:quality(80)/p7i.vogel.de/wcms/e4/00/e4009db0188135aa6abcc852eb8e0c23/0106506088.jpeg "Auswirkungen von Software-Schwachstellen lassen sich mittels User Behavior Analytics eindämmen und mitigieren. (Bild: Gerd Altmann (geralt))")
:quality(80)/p7i.vogel.de/wcms/4e/19/4e1948ec4fa57fe4da55209da87067a4/0106212677.jpeg "In das JupytertLab-Beispiel integrierte Funktion zum Plotten eines Lorenz-Attraktors nach dem Lorenzsystem. (Bild: Jupyter.org)")
:quality(80)/p7i.vogel.de/wcms/e5/6b/e56baf2d08c3c5d6cdd175b7a5c85998/0106155044.jpeg "Als Open-Source-Lösung kommt Terraform mit einer Vielzahl an Clouds, Systemen und Plug-Ins zurecht. (Bild: HashiCorp)")
:quality(80)/p7i.vogel.de/wcms/8f/4c/8f4cf0cf1b6d5b17b20a1a7415b70b0a/0107020397.jpeg "Wer die US-Regierung zu seinen Kunden zählen will, muss seit Mai 2021 eine Software-BOM für jedes Produkt bereitstellen. (Bild: Revenera)")
:quality(80)/p7i.vogel.de/wcms/d2/ce/d2ce946e9e3aff6cf33f09f3f645ff13/0106835338.jpeg "Selbst entwickelte Software hat gegenüber Lösugnen von der Stange gewisse Vorteile. (Bild: ThisisEngineering RAEng (@thisisengineering))")
:quality(80)/p7i.vogel.de/wcms/92/23/922332921e6998dff4063c097c730779/0106799719.jpeg "Cloud-native, mit viel Open-Source-Anbindung soll das Tanzu-Update für Plattform-Teams und Entwickler sein. (Bild: gemeinfrei: Dimitris Vetsikas)")
![Marie Innes: „Mit einem [...] holistischen Ansatz, der die Supply Chain Security in den Mittelpunkt stellt, ist ein Unternehmen bestens für die Container-Nutzung gerüstet.“ (Bild: Red Hat)](https://cdn1.vogel.de/y5t_1KVRUD0S1yenjnM-D6R4788=/288x162/smart/filters:format(jpg):quality(80)/p7i.vogel.de/wcms/79/69/796910f96fad87554153209c9246ebab/0106973381.jpeg "Marie Innes: „Mit einem [...] holistischen Ansatz, der die Supply Chain Security in den Mittelpunkt stellt, ist ein Unternehmen bestens für die Container-Nutzung gerüstet.“ (Bild: Red Hat)")
:quality(80)/p7i.vogel.de/wcms/41/f6/41f655a0f7e45e0dd16a6c984e445a74/0105994118.jpeg "Markus Grau, Principal Technology Strategist bei Pure Storage. (Bild: Pure Storage)")
:quality(80)/p7i.vogel.de/wcms/fb/ed/fbed30fcea9ffb2b5c8750938b459eb3/0106999583.jpeg "Full-Stack Observabilit ist in vielen Unternehmen noch nicht angekommen, geschweige denn in der Umsetzung. (Bild: kewl)")
:quality(80)/p7i.vogel.de/wcms/38/a7/38a794475170db53eb4d0d77059855ef/0106759308.jpeg "Ohne ein Tool-Set, mit dem sich die diversen Clouds verwalten lassen, droht Ungemach oder gar Gefahr - die Kosten laufen aus dem Ruder, die Sicherheit ist gefährtet. VMware bringt „Aria“ ins Spiel. (Bild: gemeinfrei: Felix-Mittermeier.de)")
:quality(80)/p7i.vogel.de/wcms/f1/8c/f18c56fec62528bb5b7de89a93fbdfea/0106809161.jpeg "Wer seine Anwendungen für die Zukunft rüsten möchte, sollte auch mit Fehlern rechnen und sich entsprechend absichern. (Bild: Pete Linforth (TheDigitalArtist))")
:quality(80)/p7i.vogel.de/wcms/bc/08/bc08bf5faf057feec454096801e69058/0107167834.jpeg "Oracle feiert die Verfügbarkeit von Java 19. (Bild: Oracle)")
:quality(80)/p7i.vogel.de/wcms/38/82/3882ab85187ae2c7dd4d564dfb96149a/0107114280.jpeg "Microsoft und Canonical kooperieren und bringen .NET 6 nativ auf Ubuntu. (Bild: Joshua Woroniecki)")
:quality(80)/p7i.vogel.de/wcms/f8/e6/f8e68bbe8e3d0a0a287f7babe2d14e7a/0106458351.jpeg "Copilot kann Vorschläge für neuen Code in Entwicklungsumgebungen unterbreiten und geht dabei weiter als alle bisher bekannten Tools. (Bild: GitHub)")
Open-Source-KI hilft bei der Entwicklung :quality(80)/p7i.vogel.de/wcms/1d/ab/1dab5222f4112ea6a05dfc220de247d9/0106555699.jpeg "Low-Code-Programmierung scheint eine Antwort auf den Fachkräftemangel zu sein, aber es gibt viel Nachholbedarf. (Bild: gemeinfrei, iAmMrRob / Pixabay)")
:quality(80)/p7i.vogel.de/wcms/a5/dd/a5dd6847caf25f08b5fed42eb779e2d6/0106816055.jpeg "Da bestehende Programmiersprachen nicht auf die Ansprüche verteilter, Cloud-nativer Anwendungen ausgelegt waren, hat WSO2 die Open-Source-Sprache Ballerina erdacht. (Bild: WSO2)")
:quality(80)/p7i.vogel.de/wcms/ce/c1/cec146c6f112e79b71c56d37ee27145e/0105884802.jpeg "Das AWS Step Functions Workflow Studio ist ein visueller Editor, der sich insbesondere für das Prototyping von Workflows eignet. (Bild: Amazon Web Services)")
:quality(80)/p7i.vogel.de/wcms/f2/f1/f2f169cdcb2cd6e79ecb1d0a4c4cea24/0105427462.jpeg "IoT-Hersteller müssen ihre Geräte schnell und innerhalb des Budgets bereitstellen sowie gleichzeitig deren Sicherheit und Fernverwaltung gewährleisten. (Bild: Canonical)")
:quality(80)/images.vogel.de/vogelonline/bdb/1936900/1936970/original.jpg "Ablauf der Kubeflow-Installation in einer konformen Kubernetes-Umgebung. (charmed-kubeflow.io)")
:fill(fff,0)/images.vogel.de/vogelonline/companyimg/134700/134771/65.png "20200122-PNG-confluent_logo-denim.png ()")
:quality(80)/images.vogel.de/vogelonline/bdb/1887700/1887705/original.jpg "GitLab feiert zehnjährigen Geburtstag und erfreut sich anhaltender Beliebtheit. (GitLab)")
:quality(80)/images.vogel.de/vogelonline/bdb/1818900/1818945/original.jpg "Open-Source-Code finden sich in vielen kommerziellen Projekten, oft ist er aber nicht auf dem neuesten Stand oder wird nicht mehr gepflegt. (Imillian - stock.adobe.com)")