Software-Lieferkette absichern

GitHub will mehr für Software-Security tun

Security-Fachleute können nun über GitHub kostenlose, quelloffene Sicherheitsdaten zu Schwachstellen bereitstellen. Dadurch soll die Sicherheit der Software-Lieferkette verbessert werden.
Von 
CSO | 23. Februar 2022 15:00 Uhr
GitHub stellt seine Advisory-Datenbank zur Verfügung, um die Sicherheit von Software-Lieferketten zu verbessern.
GitHub stellt seine Advisory-Datenbank zur Verfügung, um die Sicherheit von Software-Lieferketten zu verbessern.
Foto: github.com

Die Open-Source-Plattform GitHub öffnet seine Advisory-Datenbank. Sicherheitsforscher sollen darüber künftig zusätzliche Informationen und Kontexte bereitstellen, austauschen und nutzen können.

Dazu stellt das zu Microsoft gehörende Unternehmen den gesamten Inhalt der Datenbank in einem neuen, frei zugänglichen öffentlichen Repository unter einer Creative-Commons-Lizenz zur Verfügung. "Freie und offene Sicherheitsdaten sind entscheidend, um die gesamte Branche in die Lage zu versetzen, Software-Lieferketten bestmöglich abzusichern", betont das Unternehmen.

So viele Software-Schwachstellen wie noch nie

Das Unternehmen hat dazu eine spezielle Benutzeroberfläche für Beiträge eingerichtet, die von Forschern des GitHub Security Lab überprüft werden. Mitwirkende können Änderungen vorschlagen oder Kontextinformationen zu Paketen, betroffenen Versionen und Ökosystemen bereitstellen. Dafür erhalten sie eine öffentliche Anerkennung auf ihrem GitHub-Profil, sobald ihr Beitrag akzeptiert wurde. Für die Hinweise im Repository wird das Open-Source Vulnerabilities (OSV)-Format verwendet, so GitHub.

"Damit das Schwachstellenmanagement im Open-Source-Bereich skalieren kann, müssen die Sicherheitshinweise allgemein zugänglich sein und von allen einfach mitgestaltet werden können", erklärt Oliver Chang, Software-Ingenieur im Open-Source-Sicherheitsteam von Google. "Das OSV bietet diese Möglichkeit".

"Der Schritt von GitHub ist ein Schritt nach vorn bei der Sicherung von Open-Source-Projekten und -Bibliotheken", erklärt Yaniv Balmas, Vice President of Research bei Salt Security, gegenüber CSO. "Die Zahl der öffentlich gemeldeten Software-Schwachstellen ist so hoch wie nie zuvor und steigt von Jahr zu Jahr weiter an. Ein guter und konsequenter Informationsaustausch könnte einer der effektivsten Wege sein, dieses Problem anzugehen", so Balmas.

Da die Plattform den größten Teil des weltweit kursierenden Open-Source-Codes enthält, sorge die Öffnung der Advisory Database für Community-Beiträge dafür, dass Software-Anbieter einen besseren Einblick in den Status von Sicherheitsproblemen und in gemeinsam genutzte Software-Bibliotheken erhalten, fügt Balmas hinzu. Dies würde Schwachstellenjägern helfen, Fehler zu melden und zu beheben.

Jake Moore, ESET Global Cybersecurity Advisor, stimmt dem zu. "Die Software-Lieferkette hat in den vergangenen Jahren stark gelitten, da Schwachstellen auf dunklen Marktplätzen aufgedeckt und weitergegeben wurden, bevor ihre Opfer überhaupt die Chance hatten, darauf zu reagieren." Moore hebt hervor, dass die Weitergabe der neu entdeckten Bedrohungsdaten innerhalb vertrauenswürdiger Gemeinschaften den Zugang zu den aktuellsten Updates und Patch-Informationen ermögliche. Unternehmen, die eventuell nicht optimal geschützt seien, könnten sich so besser wappnen. (jm)

Dieser Beitrag basiert auf einem Artikel unserer US-Schwesterpublikation CSO Online.

Michael Hill schreibt für unsere US-Schwesterpublikation CSO Online.