Wir sind alle Teil einer vernetzten Community, in der die von uns geschriebene Software auf der Arbeit anderer aufbaut. 99 Prozent neuer Softwareprojekte hängen von Open Source Code ab. Die Wiederverwendung von Code hilft uns allen, bessere Software schneller als je zuvor zu bauen. Die Verbreitung von potentiell anfälliger Software stellt aber auch ein Risiko dar. Unabhängig davon, ob man ein Open Source Maintainer oder ein Entwickler ist, sind wir alle dafür verantwortlich, Sicherheitslücken verantwortungsbewusst offenzulegen, sie schnell zu beheben und anfällige Dependencies zu patchen.
Wir freuen uns, dir heute einige neue Security Features vorzustellen, die dafür entworfen wurden, die Sicherheit der Softwareentwicklung zu erhöhen.
- Security Vulnerability-Alerts jetzt mit WhiteSource-Daten: Seit dem Launch als Beta im Jahr 2017 hat GitHub fast 27 Millionen Sicherheitsmeldungen für anfällige Dependencies gesendet. Unsere neue Partnerschaft mit WhiteSource erweitert die Abdeckung potenzieller Sicherheitslücken in Open Source-Projekten und bietet detailliertere Informationen zur Bewertung und Behebung von Sicherheitslücken.
- Dependency Insights: Wenn eine Sicherheitslücke öffentlich released wird, benötigen Unternehmen Tools, mit denen sie ihre Abhängigkeiten schnell überprüfen und ihre Gefährdung besser nachvollziehen können. Dependency Insights bauen auf der Leistungsfähigkeit des Dependency Graphs auf, sodass Unternehmen einen vollständigen Überblick über ihre Abhängigkeiten erhalten, einschließlich Details zu Sicherheitslücken und Open Source-Lizenzen.
- Token-Scanning: Zuerst als Beta angekündigt, ist das Token-Scanning jetzt allgemein verfügbar und unterstützt mehr Token/Passwort-Formate, einschließlich derer von Alibaba Cloud, Mailgun und Twilio, um sicherzustellen, dass versehentliche Pushes nicht zu Data Breaches führen.
Automatisierte Sicherheitspatches mit Dependabot
Studien zeigen, dass 75 Prozent aller bekannten Schwachstellen auch nach 30 Tagen noch nicht behoben sind. Viele Unternehmen brauchen ein Jahr oder länger. Wir freuen uns, dir mitteilen zu können, dass wir Dependabot akquiriert und in GitHub integriert haben. Mit Hilfe von Dependabot überprüft GitHub deine Abhängigkeiten auf bekannte Sicherheitslücken und öffnet automatisch Pull-Requests, um sie auf die minimal erforderliche, sichere Version zu aktualisieren. Wir werden in den nächsten zwei Monaten automatisierte Pull-Requests an alle Accounts mit aktivierten Sicherheitswarnungen senden.
Open Source-Sicherheit
Nahezu jedes Softwareprojekt wird irgendwann in seiner Lebensdauer eine Sicherheitslücke aufweisen. Schwachstellen in Open Source Software können erhebliche Auswirkungen mit sich bringen, wenn Tausende von Projekten davon abhängig sind. Während große Anbieter zumeist ein spezielles Sicherheitsteam haben, das weiß, wie Sicherheitsprobleme zu lösen sind, haben dies die meisten Open Source-Projekte nicht. Erfreulicherweise können wir dir jetzt Funktionen vorstellen, die es Maintainern ermöglichen, Sicherheitsprobleme in einem geschützten Kreis zu besprechen und verantwortungsvoll zu offenbaren.
- Maintainer Security Advisories (Beta): Wenn Open Source-Maintainer auf eine Sicherheitslücke stoßen, benötigen sie einen Ort, an dem sie das Problem beheben und offenlegen können, damit die Benutzer geschützt sind. Jetzt steht Maintainern ein privater Arbeitsbereich zur Verfügung, in dem sie Sicherheitslücken diskutieren, korrigieren und veröffentlichen können, ohne dass potenzielle Hacker davon etwas mitbekommen.
- Security Policy: Sicherheit betrifft alle. Heutzutage erstellen wohlmeinende User häufig Public Issues, um Maintainer über eine vermutete Sicherheitslücke zu informieren. Durch die Unterstützung einer Sicherheitsrichtlinie können Maintainer jetzt Nutzer erreichen, wenn sie neue Issues erstellen, um sie über eine Security Policy zu informieren, die sie befolgen sollten. Organisationen können auch eine Security Policy für ihre gesamte GitHub-Organisation erstellen, die automatisch für jedes Repository innerhalb der Organisation gilt.
Die mit Softwareentwicklung einhergehenden Sicherheitsanforderungen sind für viele Communities eine große Herausforderung. Mit der Vielfalt an Repositories, Daten und Verbindungen, die GitHub als führende Software Development Platform beinhaltet, stehen wir in der Verantwortung, die Community vor Bedrohungen zu schützen und die Sicherheit für alle zu verbessern. Wir investieren kontinuierlich in neue Funktionen und arbeiten mit Partnern zusammen, um Industrie Best Practices in GitHub zu integrieren.