Der Einsatz von CVE-Nummern zur koordinierten Information über Sicherheitslücken in Software ist bereits seit Jahrzehnten erprobt und etabliert. Der Versionsverwaltungsdienst GitHub informiert betroffene Entwickler über eine Datenbank. Neben Sicherheitslücken sollen jedoch auch Malware-Kampagnen viele Probleme bereiten, die der Anbieter nun angehen möchte.

"Kriminelle versuchen, bösartige Software, bekannt als Malware, in Open-Source-Software einzuschleusen.", schreibt GitHub in seiner Ankündigung hierzu. Weiter sei die Nachverfolgung von Details über Malware schwierig, da diese normalerweise entfernt werde. Sie sei damit nicht für den üblichen Offenlegungsprozess mit den CVE-Nummern geeignet.

Über automatisierte Scans, eigene Sicherheitsforschung oder Dritte aus der Security-Community gelinge es GitHub immer wieder, Versuche aufzufinden Malware in Code einzuschleusen. In Zukunft soll über den Dienst erkannte und entfernte Malware über die Advisory Database der Plattform nachvollzogen werden können. Betroffene Nutzer sollen zudem über das Werkzeug Dependabot informiert werden, welches nun auch um die Malware-Warnungen erweitert worden sei.

(jb, hannover)

(siehe auch: golem.de)

Hannover · EDV-Beratung · Linux · Novell · Microsoft · Seminar · IT-Consult · Netzwerk · LPIC · CLE