GitHub ist eine der wichtigsten Plattfomen für
Open-Source-Projekte am Markt. Mit der zunehmenden Bedeutung von freier Software, steigen auch die Sicherheitsanforderungen an den Code, so GitHubs SVP Shanku Niyogi auf dem offiziellen
Blog der Microsoft-Tochter. Um den gesteigerten Anforderungen gerecht zu werden, führt der Anbieter nun neue Sicherheitsfunktionen zur Kontrolle von Code ein. Die technologische Basis liefert dabei die Lösung des Codeanalyse-Dienstleisters Semmle, den GitHub akquiriert hat.
Normalerweise werden Schwachstellen im Code durch Pentesting oder eine manuelle Überprüfung entdeckt. Die Technologie von Semmle behandelt Code hingegen als Daten und wertet diese mit einer Analyse-Engine aus. Die daraus resultierenden Informationen erleichtern es Sicherheitsforscher erheblich, Fehler im Programmcode auszumachen. In der Praxis habe sich die Technologie bereits bewährt, über 100 CVEs konnten mit Semmle in teils hochkarätigen Projekten wie Apache Struts, Apples XNU, dem Linux Kernel, Memcached, U-Boot und VLC identifiziert werden.
Um künftig außerdem das Melden von Sicherheitslücken zu vereinfachen, agiert GitHub nun außerdem selbst als CNA (CVE Numbering Authority) für Open-Source-Projekte. So können Entwickler direkt auf der Plattform anfallende Fehler melden und beheben. Niyogi geht davon aus, dass sich Schwachstellen durch diesen Schritt schneller beheben lassen.
Indessen haben die DevOps-Spezialisten von GitLab in der nunmehr fünften Finanzierungsrunde satte
268 Millionen US-Dollar eingenommen. Auch bei GitLab sollen die Gelder in den Bereich Sicherheit fließen, darüber hinaus wolle man das Monitoring auf der Code-Hosting-Plattform verbessern.
.