Mobile-Menu

Drei Sicherheitverbesserungen für GitHub-User Sicherheit und Integrität für GitHub-Repositories

Von Stephan Augsten Lesedauer: 1 min |

Anbieter zum Thema

PresseBox - unn | UNITED NEWS NETWORK GmbH
Insider Research
Windhoff Group
GitHub Inc.

GitHub hat gleich drei wichtige Ankündigungen gemacht. Die Funktionen sollen Developern beim Überprüfen der Herkunft von npm-Paketen, bei der Verbesserung der Sicherheit und Kontrolle von Bereitstellungsprozessen und beim Melden von Sicherheitslücken unterstützen.

Das „Private Vulnerability Reporting“ von GitHub ist nun generell verfügbar, weitere Sicherheitsfunktionen haben die öffentliche Beta-Phase erreicht.
Das „Private Vulnerability Reporting“ von GitHub ist nun generell verfügbar, weitere Sicherheitsfunktionen haben die öffentliche Beta-Phase erreicht.
(Bild: GitHub)

GitHub hat die allgemeine Verfügbarkeit des privaten Vulnerabiliy-Reporting-Tools für Open-Source-Repositories angekündigt. Dieses Werkzeug ermöglicht es Nutzerinnen und Nutzern, Schwachstellen in ihren Repositories zu melden, ohne dass diese Informationen öffentlich zugänglich sind. Besonders wichtig ist das Projekte und Anwendungen, die hohen Sicherheitsstandards entsprechen müssen.

Seit Beginn der öffentlichen Beta-Phase im November sei in über 30.000 Unternehmen die private Schwachstellenmeldung für mehr als 180.000 Repositories aktiviert worden, schreibt GitHub. Durch diese Aktivierung und das Feedback aus der Community habe man eine Reihe integrierter Funktionen verbessern können.

Als zweite Ankündigung hat GitHub die Einführung von „npm Package Provenance“ angekündigt. Mit dieser Funktion können Entwickler und Entwicklerinnen die Herkunft von npm-Paketen in ihren Repositories überprüfen. Sie können sehen, welche Pakete von welchen Quellen heruntergeladen wurden und welche Abhängigkeiten diese Pakete haben. Ziel sei es, die Integrität von Software-Lieferketten zu stärken.

Als Verwalter des npm-Registers nimmt GitHub sich selbst in die Pflicht, das Vertrauen in diese Projekte aufzubauen: „Unser Ziel für das npm-Ökosystem ist es, das gleiche Maß an Transparenz, das wir bei dem Open-Source-Code selbst haben, auch auf den Prozess zu übertragen, durch den dieser Code erstellt und veröffentlicht wird“, heißt es im GitHub-Blog Mit dem öffentlichen Beta-Test können Nutzer von npm-Projekten das Vertrauen direkt im Quellcode und Build-Prozess verankern.

Ebenfalls in die öffentliche Beta gehen die „Deployment Protection Rules“ für GitHub Actions. Mit dieser Funktion können Entwickler Regeln für den Schutz von Bereitstellungen in ihren Repositories festlegen, indem sie beispielsweise bestimmte Benutzer oder Teams für eine Bereitstellung berechtigen und die Zugänglichkeit von Umgebungen (z.B. Produktion oder Test) steuern. GitHub sieht darin einen wichtigen Schritt, um die Sicherheit und Kontrolle von Bereitstellungsprozessen zu verbessern.

(ID:49413576)

Jetzt Newsletter abonnieren

Täglich die wichtigsten Infos zu Softwareentwicklung und DevOps

Mit Klick auf „Newsletter abonnieren“ erkläre ich mich mit der Verarbeitung und Nutzung meiner Daten gemäß Einwilligungserklärung (bitte aufklappen für Details) einverstanden und akzeptiere die Nutzungsbedingungen. Weitere Informationen finde ich in unserer Datenschutzerklärung.

Aufklappen für Details zu Ihrer Einwilligung

Weiterführende Inhalte