19.09.2019
Semmle-Übernahme
GitHub erhält neue Sicherheits-Features
Autor: Stefan Bordel
GitHub
GitHub sichert sich mit der Übernahme des Codeanalyse-Dienstleisters Semmle wertvolles Security-Knowhow, das direkt in neue Funktionen einfließt. Darüber hinaus agiert die Code-Hosting-Plattform jetzt auch als CNA.
GitHub ist eine der wichtigsten Plattfomen für Open-Source-Projekte am Markt. Mit der zunehmenden Bedeutung von freier Software, steigen auch die Sicherheitsanforderungen an den Code, so GitHubs SVP Shanku Niyogi auf dem offiziellen Blog der Microsoft-Tochter. Um den gesteigerten Anforderungen gerecht zu werden, führt der Anbieter nun neue Sicherheitsfunktionen zur Kontrolle von Code ein. Die technologische Basis liefert dabei die Lösung des Codeanalyse-Dienstleisters Semmle, den GitHub akquiriert hat.
Normalerweise werden Schwachstellen im Code durch Pentesting oder eine manuelle Überprüfung entdeckt. Die Technologie von Semmle behandelt Code hingegen als Daten und wertet diese mit einer Analyse-Engine aus. Die daraus resultierenden Informationen erleichtern es Sicherheitsforscher erheblich, Fehler im Programmcode auszumachen. In der Praxis habe sich die Technologie bereits bewährt, über 100 CVEs konnten mit Semmle in teils hochkarätigen Projekten wie Apache Struts, Apples XNU, dem Linux Kernel, Memcached, U-Boot und VLC identifiziert werden.
Um künftig außerdem das Melden von Sicherheitslücken zu vereinfachen, agiert GitHub nun außerdem selbst als CNA (CVE Numbering Authority) für Open-Source-Projekte. So können Entwickler direkt auf der Plattform anfallende Fehler melden und beheben. Niyogi geht davon aus, dass sich Schwachstellen durch diesen Schritt schneller beheben lassen.
Konkurrent GitLab erhält neue Mittel
Indessen haben die DevOps-Spezialisten von GitLab in der nunmehr fünften Finanzierungsrunde satte 268 Millionen US-Dollar eingenommen. Auch bei GitLab sollen die Gelder in den Bereich Sicherheit fließen, darüber hinaus wolle man das Monitoring auf der Code-Hosting-Plattform verbessern.
Test-Framework
Testautomatisierung mit C# und Atata
Atata ist ein umfassendes C#-Framework für die Web-Testautomatisierung, das auf Selenium WebDriver basiert. Es verwendet das Fluent Page Object Pattern und verfügt über ein einzigartiges Protokollierungssystem sowie Trigger-Funktionalitäten.
>>
Programmiersprache
Primärkonstruktoren in C# erleichtern den Code-Refactoring-Prozess
Zusammenfassen, was zusammen gehört: Dabei helfen die in C# 12 neu eingeführten Primärkonstruktoren, indem sie Code kürzer und klarer machen.
>>
Tools
GitLab Duo Chat mit KI-Chat-Unterstützung
Der DevSecOps-Plattform-Anbieter GitLab führt den GitLab Duo Chat ein. Dieses Tool integriert Künstliche Intelligenz in die DevSecOps-Workflows.
>>
Cyberbedrohungen überall
IT-Sicherheit unter der Lupe
Cybersecurity ist essentiell in der IT-Planung, doch Prioritätenkonflikte und die Vielfalt der Aufgaben limitieren oft die Umsetzung. Das größte Sicherheitsrisiko bleibt der Mensch.
>>