Ügyes újdonsággal rukkolt elő a GitHub

​A GitHub egy olyan újdonságot jelentett be, amely egy csapásra rengeteg nyílt és zárt forráskódú alkalmazást tehet biztonságosabbá.
 
hirdetés
A szoftverek nagyon gyakran azért válnak sérülékennyé, mert olyan könyvtárakat, összetevőket tartalmaznak, amelyek maguk is sebezhetők. Ha egy ilyen kódkönyvtár kapcsán napvilágra kerül egy biztonsági rés, akkor az nagyon sok alkalmazást tehet kiszolgáltatottá. Nyilván az ilyen esetek elkerülése érdekében a fejlesztőknek figyelniük kell(ene) az általuk használt komponensekben felmerülő biztonsági problémákra. Azonban ez sok esetben elmarad, amin most a GitHub egy új szolgáltatással próbál segíteni.
 
Az újdonság lényege, hogy a GitHub folyamatosan figyelemmel kíséri a különféle könyvtárak kapcsán felfedezett sérülékenységeket. Ezt jelenleg a MITRE segítségével teszi meg, vagyis azon hibákat dolgozza fel, amelyek rendelkeznek CVE-azonosítóval. Ezt követően a nemrégen bejelentett Dependency Graph segítségével ellenőrzi, hogy a problémás komponens mely projekteknek képezi részét. Szükség esetén pedig riasztást, figyelmeztetést küld vagy jelenít meg.

 
A jelenlegi elképzelések szerint az új biztonsági funkció automatikusan aktiválódik a nyilvános repositoryknál, míg a zárt projektek esetében a fejlesztők dönthetnek arról, hogy szeretnének-e élni az új lehetőséggel. Ekkor azt is beállíthatják, hogy mely csoportok vagy személyek kapjanak értesítést akár e-mailben, akár a weboldalon keresztül. Az értesítések tartalmazzák a problémás összetevő nevét, a sérülékenység veszélyességi besorolását, sőt védekezési tanácsokat is adnak. Amennyiben már elérhető egy adott sérülékenységhez javítás, akkor a GitHub azt is közli, hogy mely verzióra célszerű frissíteni.
 
A GitHub ígérete szerint a jövőben olyan sérülékenységekre is igyekszik majd felhívni a figyelmet, amelyek nem rendelkeznek CVE-azonosítóval. 
Vélemények
 
  1. 3

    Az OpenSSL kapcsán két sérülékenységről hullt le a lepel.

  2. 3

    Az IBM Security Guardium biztonsági hibája a titkosítási szintek manipulálását teszi lehetővé.

  3. 4

    A Microsoft a Malware Protection Engine esetében egy veszélyes sérülékenységet orvosolt.

 
Partnerhírek
Egy repülőgépet is fel lehet törni?

Nem laboratóriumi körülmények között, távolról be lehet törni egy repülőgép hálózatába.

​A Google mindig tudja, hol vagy?

Akkor is gyűjti az androidos készülékek tulajdonosainak lokációs adatait a Google, amikor kikapcsolták a helyfüggő szolgáltatásokat – ezt az adatvédelmi szabályzatban nem jelezték.

hirdetés
Közösség
1