Semmle-Übernahme

GitHub erhält neue Sicherheits-Features

von - 19.09.2019
Cybersicherheit
Foto: GitHub
GitHub sichert sich mit der Übernahme des Codeanalyse-Dienstleisters Semmle wertvolles Security-Knowhow, das direkt in neue Funktionen einfließt. Darüber hinaus agiert die Code-Hosting-Plattform jetzt auch als CNA.
GitHub ist eine der wichtigsten Plattfomen für Open-Source-Projekte am Markt. Mit der zunehmenden Bedeutung von freier Software, steigen auch die Sicherheitsanforderungen an den Code, so GitHubs SVP Shanku Niyogi auf dem offiziellen Blog der Microsoft-Tochter. Um den gesteigerten Anforderungen gerecht zu werden, führt der Anbieter nun neue Sicherheitsfunktionen zur Kontrolle von Code ein. Die technologische Basis liefert dabei die Lösung des Codeanalyse-Dienstleisters Semmle, den GitHub akquiriert hat.
Normalerweise werden Schwachstellen im Code durch Pentesting oder eine manuelle Überprüfung entdeckt. Die Technologie von Semmle behandelt Code hingegen als Daten und wertet diese mit einer Analyse-Engine aus. Die daraus resultierenden Informationen erleichtern es Sicherheitsforscher erheblich, Fehler im Programmcode auszumachen. In der Praxis habe sich die Technologie bereits bewährt, über 100 CVEs konnten mit Semmle in teils hochkarätigen Projekten wie Apache Struts, Apples XNU, dem Linux Kernel, Memcached, U-Boot und VLC identifiziert werden.
Um künftig außerdem das Melden von Sicherheitslücken zu vereinfachen, agiert GitHub nun außerdem selbst als CNA (CVE Numbering Authority) für Open-Source-Projekte. So können Entwickler direkt auf der Plattform anfallende Fehler melden und beheben. Niyogi geht davon aus, dass sich Schwachstellen durch diesen Schritt schneller beheben lassen.

Konkurrent GitLab erhält neue Mittel

Indessen haben die DevOps-Spezialisten von GitLab in der nunmehr fünften Finanzierungsrunde satte 268 Millionen US-Dollar eingenommen. Auch bei GitLab sollen die Gelder in den Bereich Sicherheit fließen, darüber hinaus wolle man das Monitoring auf der Code-Hosting-Plattform verbessern.
Foto: DevOpsWorld Conference
DevOpsWorld Conference
Am 14. November findet im Rahmen der von CloserStill Media veranstalteten TechWeek Frankfurt die DevOpsWorld Conference statt. Auf dieser von com! professional verantworteten Konferenz sprechen versierte Experten über die Notwendigkeit und Herausforderung des DevOps-Konzepts und geben mit Berichten aus der Praxis wertvolle Hilfestellungen. Die Vorträge beginnen um 9 Uhr in den Konferenzräumen der Ebene 4C. Ende der Veranstaltung ist um 17 Uhr.
Michael Kaufmann eröffnet die DevOpsWorld mit einer Keynote, in der er über die Rolle der DevOps-Kultur und über die Wechselwirkung zwischen technischem Fortschritt und der Arbeitsweise von Organisationen spricht.
.
Verwandte Themen