:quality(80)/p7i.vogel.de/wcms/c8/6b/c86bfadc9400e3859e5a8173b99872db/0114956871.jpeg "Für das große Gewinnerbild standen dann alle Preisträgerinnen und Preisträger noch einmal gemeinsam mit Moderatorin Margit Lievertz und Dev-Insider-Chefredakteur Stephan Augsten auf der Bühne. (Bild: krassevideos.de / VIT)")
:quality(80)/p7i.vogel.de/wcms/82/e2/82e20061fab6f1fc0561f023c6bfd2cc/0114109627.jpeg "Dev-Insider verleiht heute die IT-Awards 2023 in sechs Kategorien. (Bild: Vogel IT-Medien)")
:quality(80)/p7i.vogel.de/wcms/5f/f4/5ff47683e4bc8de6cf2d484e627c58f2/0107845613.jpeg "Wir präsentieren die Gewinnerinnen und Gewinner der Dev-Insider Readers’ Choice Awards, (Bild: VIT)")
:quality(80)/p7i.vogel.de/wcms/55/d8/55d8de7a538dd09179a73c8038cf4147/0107796204.jpeg "Zum achten Mal verleihen die Insider-Portale die IT-Awards, nach zwei virtuellen Events wieder im Rahmen einer Abendgala. (Bild: Vogel IT-Medien)")
:quality(80)/p7i.vogel.de/wcms/8c/54/8c54744c036ec61da10210ccedac6e6f/0115622026.jpeg "Automatisierte Sicherheit gehört für viele Unternehmen schon dazu, berichtet Synopsys. (Bild: PandaStockArt - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/7f/fa/7ffa1340ab62def05e1f90e0e829e170/0115309401.jpeg "Unternehmensweit sind eine engere Zusammenarbeit und eine gemeinsame Sichtbarkeit für alle Dev-, Sec- und Ops-Teams vonnöten. (Bild: Murrstock - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/e8/10/e8103ad3c912d1b400312f5b58c2eddd/0114050691.jpeg "Der Autor: Andrej Nikonov ist KI-Experte und Geschäftsführer von Cloudflight München (Bild: Cloudflight)")
:quality(80)/p7i.vogel.de/wcms/a8/4d/a84d6e9a2b83c4638bac6813943e87e0/0115489095.jpeg "Kontinuierliches Testing über den gesamten Software Development Lifecycle hinweh will Veracode mit den neuen Lösungen noch besser unterstützen. (© ArtemisDiana - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/03/78/0378db755cdc799a84e4d47a02c8b898/0115139555.jpeg "Der Chatbot samt ChatGPT-Integration. (Bild: Lang / Botpress)")
:quality(80)/p7i.vogel.de/wcms/c6/77/c6778a56d0b6c6c4f0cd541bf8f87286/0115365909.jpeg "Die Linux-Kernel-Technologie eBPF hilft, Transparenz in die Kommunikation von Kubernetes-Clustern zu bringen. (Bild: <a href=https://unsplash.com/photos/background-pattern-GSiEeoHcNTQ>Growtika</a>)")
:quality(80)/p7i.vogel.de/wcms/ee/71/ee7167e6c8ba4f0af6075f0aedb53d94/0115097582.jpeg "Zwar entfällt das Infrastruktur-Management beim Serverless Computing weitestgehend, doch das wirft wiederum auch Nachteile auf. (Bild: <a href=https://pixabay.com/users/akitada31-172067/>Roman</a>)")
:quality(80)/p7i.vogel.de/wcms/3a/86/3a861660380c36be8f5c30437efc7f0c/0115482665.jpeg "Visual Studio Code lässt sich als ein Flatpak von Flathub beziehen und auf einer beliebigen unterstützen Distribution mit einem simplen Befehl einrichten. (Bild: Flathub.org / Microsoft)")
:quality(80)/p7i.vogel.de/wcms/14/7c/147c7bac4c8372a856eb6d7938b0295f/0115093862.jpeg "Von Key-Value-Stores über In-Memory- bis hin zu Graph-Datenbanken: NoSQL kennzeichnet sich durch verschiedene Typen, die oft kombiniert werden. (Bild: <a href=https://pixabay.com/users/placidplace-25572496/>Placidplace</a>)")
:quality(80)/p7i.vogel.de/wcms/51/1b/511b16729b1ca7ba78518feb2dd8bbf5/0114533620.jpeg "Sqlectron erleichtert die Datenbankadministration in heterogenen Umgebungen. (Bild: ©gorodenkoff, Getty Images via Canva.com)")
:quality(80)/p7i.vogel.de/wcms/7e/53/7e53270c23873649b7e27c3fec4b36f8/0115274382.jpeg "Technische Schulden häufen sich beinahe zwangsläufig an, Ki kann diesen Prozess leider deutlich beschleunigen. (Bild: <a href=https://unsplash.com/de/@and_machines>and machines</a>)")
:quality(80)/p7i.vogel.de/wcms/a2/6d/a26d6b9b81ed85fae9f94b4893ab44d3/0115643756.jpeg "Der Cyber Resilience Act soll die Besonderheiten in der Entwicklung von Open-Source-Projekten berücksichtigen. (© Duncan Andison - adobe.stock.com)")
:quality(80)/p7i.vogel.de/wcms/88/94/88946f4dedd1bf482b02fd8885d8eae0/0115579192.jpeg "Vielen Unternehmen fehlt der Überblick, welche APIs es gibt und wohin genau welche Daten mit welcher Kritikalität über diese Schnittstellen fließen. (Bild: Murrstock - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/e6/a1/e6a1fdcb119277fc720bd9410701c4cf/0115261467.jpeg "Der Low- und No-Code-Trend verändert die Art und Weise, wie Unternehmen Apps für ihre Bedürfnisse erstellen. (Bild: <a href=https://pixabay.com/users/dinesh_pal-26281818/>Dinesh_pal</a>)")
:quality(80)/p7i.vogel.de/wcms/01/d0/01d02743d019010886e4fe0d47222d72/0115628204.jpeg "Der Autor Fabian Tröltzsch auf der w3.vision X DMEXCO 2023. (© koelnmesse)")
:quality(80)/p7i.vogel.de/wcms/7a/59/7a595755b165e6d0939b52bc4bb82e9d/0113646230.jpeg "Blockchain-Technologien schaffen Vertrauen, was auch beim programmatischer Werbung von Vorteil ist. (Bild: <a href=https://pixabay.com/de/users/kiquebg-5133331/>kiquebg</a>)")
:quality(80)/p7i.vogel.de/wcms/fc/5d/fc5d51c434c66a36ab98ec88e33f3f11/0113457541.jpeg "Das Blockchain Competence Center Mittweida veranstaltet die gesamte Blockchain Autumn School 2023 über Zoom. (Bild: BCCM)")
:quality(80)/p7i.vogel.de/wcms/31/d6/31d6c005205f8dde8b88c2130c4b64ce/0115047701.jpeg "Bei einer Variablen richtet sich die Wahl des optimalen Datentyps nach dem zu erwartenden Inhalt. (Bild: <a href=https://pixabay.com/users/kuszapro-369349/>Christopher Kuszajewski</a>)")
:quality(80)/p7i.vogel.de/wcms/96/41/96410d07dd40694b8b473af9054e730c/0115019701.jpeg "Vor dem Ausführen wird Code in eine maschinell lesbare Form gebracht – und hierfür sind feste Regeln sinnvoll. (Bild: <a href=https://pixabay.com/users/johnsonmartin-724525/>Johnson Martin</a>)")
:quality(80)/p7i.vogel.de/wcms/2f/8e/2f8ede1d9d1dc4ae64f9d1fdd8cffb8f/0115091212.jpeg "In seinem Selbstverständnis als DevSecOps-Anbieter bietet GitLab über die reine Code-Verwaltung mit Git hinaus viele weitere Funktionen. (Bild: GitLab)")
:quality(80)/p7i.vogel.de/wcms/c2/21/c2213857722c33ef3d02db0acf33abc0/0112236476.jpeg "So sehen Chiselled Ubuntu containers aus – zumindest nach Auffassung der generativen KI DALL-E2. (Bild: Dall-E 2)")
:quality(80)/p7i.vogel.de/wcms/a9/6d/a96d15ff02a35fc84a9b65702395aa6b/0110694349.jpeg "Größenvergleich der gängigen Basis-Images (komprimiert und unkomprimiert). (Bild: Canonical)")
:quality(80)/p7i.vogel.de/wcms/ce/c1/cec146c6f112e79b71c56d37ee27145e/0105884802.jpeg "Das AWS Step Functions Workflow Studio ist ein visueller Editor, der sich insbesondere für das Prototyping von Workflows eignet. (Bild: Amazon Web Services)")
Schwachstellen in Open-Source-Abhängigkeiten Security Alerts auf GitHub nutzen
GitHub bietet extrem praktische Sicherheitswarnungen für Abhängigkeiten und trägt so massiv zur Sicherheit in Open-Source-Projekten bei. Die Warnungen basieren auf öffentlich bekannten Sicherheitslücken und müssen zunächst aktiviert werden.
Anbieter zum Thema
:fill(fff,0)/images.vogel.de/vogelonline/companyimg/107300/107370/65.png "pressebox_600x600_v2.png ()")
:fill(fff,0)/p7i.vogel.de/companies/65/68/656863dbcf3d9/logo-devops-windhoff-group.png "logo-devops-windhoff-group (Windhoff Group)"){kind=logo}
Gefährliche Abhängigkeiten
Abhängigkeiten sind bei Open-Source-Projekten ein großes Sicherheitsproblem, da viele Entwickler dazu neigen, sich zwar um den eigenen Code zu kümmern, bei genutzten Bibliotheken und anderen vorausgesetzten Tools aber auf deren Ersteller zu vertrauen. Mit den Security Alerts will GitHub gegensteuern – und das offensichtlich mit Erfolg.
Der Plattformbetreiber hat initial alle öffentlichen Repositories auf Sicherheitslücken geprüft, um einen Ausgangspunkt zu haben: GitHub spricht von vier Millionen gefundenen Lücken in 500.000 Repositories. Binnen einer Woche nach Start der Alerts wurde knapp die Hälfte dieser Anfälligkeiten behoben. Viele der übrigen Repos schienen verwaist oder nicht mehr gepflegt, da die letzten Beiträge über 90 Tage her waren.
Berücksichtigt wurden dabei allerdings nur Ruby- und Javascript-Projekte. Mittlerweile wird auch Python unterstützt, andere Sprachen sind (noch) außen vor. Projekte müssen also eine der unterstützten Sprachen nutzen, öffentlich sein und zu guter Letzt eine Liste mit Abhängigkeiten pflegen, die in bestimmten Dateien liegen dürfen. Die Alerts bauen auf dem Dependency Graph auf, der sich für private Repositories optional freischalten lässt.
Was meldet das System?
Derzeit melden die GitHub-Alarme öffentlich bekannte Sicherheitslücken, die einen CVE-Eintrag (Common Vulnerabilites and Exposures) erhalten haben. Das Programm soll noch weiterentwickelt werden, deckt mit den CVEs aber bereits einen sehr relevanten Teil ab.
Da das Alert-System auf den Dependency Graph aufgesetzt wird, finden sich die entsprechenden Alarme auch genau dort wieder. Erfreulicherweise zeigt das System aber eben nicht bloß die CVE, sondern auch eine kurze Beschreibung und die Bewertung nach dem Common Vulnerability Scoring System (CVSS), also die bekannte Einteilung in „Low, Moderate, High und Critical“, so dass Sie sofort sehen, wie ernst die Lage ist.
Richtig bequem macht GitHub die offensichtlichste aller Lösungen: Den Verweis auf eine aktuellere Version der betroffenen Abhängigkeit können Sie direkt mittels Ausschneiden und Einfügen in Ihre Abhängigkeitenliste aufnehmen. Selbstverständlich werden die CVEs auch direkt mit ihren Einträgen in der National Vulnerability Database (NVD) vom Mitre verlinkt, wo sich detaillierte Informationen finden.
Alerts aktivieren
Alerts müssen in einigen Fällen zunächst noch eingerichtet werden. Bei öffentlichen Repositories ist der Dependency Graph standardmäßig aktiviert, bei privaten Repos muss dieser zunächst freigeschaltet werden. Das erledigen Sie in dem betroffenen Repo selbst unter „Insights/Dependency Graph“.
Dann benötigen Sie eine Liste mit Abhängigkeiten, die Sie über folgende Varianten/Dateien pflegen können: Gemfile, Gemfile.lock, *.gemspec, package.json, package-lock.json, requirements.txt, pipflie.lock. Für Python wird explizit auf die „requirements.txt“ verwiesen, eine „setup.py“ könnte Probleme verursachen. Bei den Dateien handelt es sich um schlichte Textdateien, bei Ruby etwa mit Einträgen in der Art gem "my-dependency", "= 1.5.0".
Zu guter Letzt müssen Sie noch einstellen, wie und wo Sie an die Alerts kommen. Die Einstellungen finden Sie unter „Settings/Notifications“. Zum einen gibt es Optionen für die Ansicht in der GitHub-Oberfläche und zum anderen zwei E-Mail-Dienste: Die Benachrichtigung für jede gefundene Sicherheitslücke und/oder eine tägliche oder wöchentliche Zusammenfassung. Wer das volle Programm haben will, muss hier nachjustieren. Übrigens: In GitHub Desktop sind die Alerts leider nicht zu sehen.
Mit Alerts arbeiten
Die eigentliche Frage ist aber, wie man nun mit dem GitHub-System in der Praxis arbeitet. Möchte man sich das Ganze aber mal in Aktion ansehen, stellt man schnell fest, dass offenbar schon viel gesäubert wurde – ein Repo mit der richtigen Sprache und einer gefährdeten Abhängigkeit zu finden ist ohne weitere Informationen gar nicht möglich.
Am schnellsten geht es, wenn Sie schlicht selbst eine Meldung provozieren. Eröffnen Sie einfach ein leeres Repository und legen Sie eine Datei „gemfile“ mit folgendem Inhalt an: „gem "actionview", "= 4.2.5".
Um den Alert zu sehen, haben Sie, sofern alle Ansichtsoptionen aktiviert sind, mehrere Möglichkeiten, die Alarmmeldung zu sehen: Zum einen als Banner direkt oberhalb der gemfile-Datei und zum anderen in der Dependency-Graph-Ansicht; dort sowohl als Banner als auch direkt im Abhängigkeitsbaum.
Im vorangestellten Bild sehen Sie bereits die Details einer gefundenen Schwachstelle. Neben CVE-Link und CVSS-Score, hier „Moderate severity“, gibt es hier auch eine empfohlene Lösung, nämlich das Updaten der gemfile-Datei mit „gem actionview ~> 4.2.7.1“, also einer aktuelleren Version der bedingten Software. Die Angabe „~>“ steht hier für „Pessimistically Greater Than or Equal To“, sprich Ihr Projekt würde mit jeder Version ab 4.2.7.1 und unterhalb von 4.2.8.0 laufen.
Natürlich steht diese Option nicht immer zur Verfügung. Sofern es keine aktuelleren, gepatchten Versionen der benötigten Abhängigkeit gibt, empfiehlt GitHub, auf eine sichere Alternative aus dem GitHub-Universum zu wechseln – wenn das doch nur immer so einfach wäre.
Auch führt GitHub eine allgemeine Vorgehensweise zum Umgang mit den Alerts auf, diese ist im Grunde aber wenig Security-Alert-spezifisch, eher ein allgemeiner Workflow für Sicherheitsvorfälle. Kurz gesagt: CVE lesen, prüfen, wie genau die Abhängigkeit genutzt wird, Dokumentation der Abhängigkeit lesen, gegebenenfalls updaten und prüfen, ob die Schwachstellen in Ihrem Projekt dadurch behoben wurde. Anschließend folgt – natürlich – das übliche Verschmelzen und gegebenenfalls Versionieren der Änderungen.
Durchaus interessant ist jedoch die empfohlene Kommunikation, schließlich wird nicht jeder Entwickler die Alerts immer im Auge haben. Zum einen sollten Sie alle Projektbeteiligten über die Änderungen und die Schwachstelle informieren, zum anderen aber auch die Projekte, die wiederum Ihr Projekt als Abhängigkeit nutzen. Hier dürften insbesondere Informationen zu etwaigen Inkompatibilitäten benötigt werden.
Und noch eine Gruppe sollten Sie nicht vergessen: Die Forks. Gerade bei weidlich genutzten Bibliotheken können sich die Alerts nur dann auf die breite Masse der produktiv eingesetzten Implementierungen auswirken, wenn der Informationsfluss auch wirklich bis in die hinterste Ecke fließt. Sicherheit lässt sich eben nicht immer, und schon gar nicht in der Open-Source-Welt, zentral ausrollen. Hier ist durchaus jeder Entwickler aufgerufen auch über Kommunikation für Sicherheit zu sorgen.
Konzept mit Potenzial
Die Security Alerts sind definitiv eine feine Sache und es kann nur jedem Entwickler empfohlen werden, diese Funktion zu aktivieren und aktiv zu nutzen. Die Umsetzung ist erfreulich einfach und hilfreich und verursacht keinen großen Overhead. Wenn man einmal von den vielen Stunden absieht, die künftig für das Beheben oder Mitigieren von Schwachstellen drauf gehen, die man ohne die Alerts niemals bemerkt hätte.
Das Projekt ist noch recht jung, kein Jahr in der Welt, und hat noch Potenzial nach oben. Zunächst wären natürlich weitere Sprachen wünschenswert. Auch eine Aufnahme im GitHub Desktop wäre nett. Im Dependency Graph gibt es wie vorne zu sehen noch eine obskure Ordner-Endlosschleife, die nicht wirklich sinnvoll wirkt.
Eines gibt es aber nicht: Informationen für die Öffentlichkeit. Der Dependency Graph ist auch für nicht zum Repository gehörende User zu sehen, die Alerts sind es nicht. Freilich gibt es gute Gründe dafür, doch zumindest optional wäre es eine Überlegung wert; beispielsweise, um Nutzer bei Programmen zu informieren, die zwar noch laufen und genutzt, aber nicht mehr gepflegt werden.
(ID:45512242)
:quality(80)/p7i.vogel.de/wcms/53/b3/53b3b7765d5f374aba8de2854d18916b/0109560713.jpeg "Die Schwachstellen-Datenbank osv.dev lässt sich manuell durchsuchen und sowohl über eine API als auch mit dem Google OSV-Scanner nutzen. (Bild: Joos / Google)")
:quality(80)/p7i.vogel.de/wcms/50/ea/50ea3e09521c06e685a551ec83873847/0109818680.jpeg "Das visuelle Anzeigen von git-Lifecycles im Editor ermöglicht die Extension „Git Graph“. (Bild: Drilling / Microsoft)")