Nieuws
image

GitHub gaat ontwikkelaars voor Python-lekken waarschuwen

zondag 15 juli 2018, 09:42 door Redactie, 6 reacties

Het ontwikkelplatform GitHub gaat ontwikkelaars voortaan waarschuwen als ze voor hun softwareproject gebruikmaken van Python-packages met bekende kwetsbaarheden. Het kan dan bijvoorbeeld gaan om softwarebibliotheken of opensourceprogramma's waar het project gebruik van maakt.

Meer dan 75 procent van de GitHub-projecten heeft dergelijke "dependencies". De waarschuwingen laten ontwikkelaars weten waar de kwetsbaarheid zich bevindt, wat die precies inhoudt en wat een mogelijke oplossing is. Bij publieke repositories staan de waarschuwingen automatisch ingeschakeld. De beveiligingswaarschuwingen werden eind vorig jaar ingevoerd voor JavaScript en Ruby.

GitHub wist op deze manier miljoenen kwetsbaarheden in softwareprojecten van gebruikers te ontdekken. Vanaf deze week wordt ook Python ondersteund. Op dit moment worden Python-gebruikers voor een aantal recente kwetsbaarheden gewaarschuwd. GitHub is echter van plan om de komende weken ook oudere Python-kwetsbaarheden aan de database toe te voegen, zo laat het ontwikkelplatform in een blogposting weten.

Reacties (6)
15-07-2018, 10:02 door Anoniem
Ik was benieuwd hoe men dit precies doet: "GitHub tracks public vulnerabilities in Ruby gems, NPM and Python packages on MITRE's Common Vulnerabilities and Exposures (CVE) List." Zouden ze deze parser openbaar maken of moeten we dit zelf coden als we github niet gebruiken?
15-07-2018, 11:40 door Anoniem
Door Anoniem: Ik was benieuwd hoe men dit precies doet: "GitHub tracks public vulnerabilities in Ruby gems, NPM and Python packages on MITRE's Common Vulnerabilities and Exposures (CVE) List." Zouden ze deze parser openbaar maken of moeten we dit zelf coden als we github niet gebruiken?
Ik weet niet of Github zich hierop gebaseerd is maar er bestaat software om een eigen vulnerabilitydatabase op te bouwen op basis van CVE's:
https://github.com/cve-search/cve-search
Ze worden volgens de inleiding op die pagina onder meer gebruikt voor deze publieke dienst:
https://cve.circl.lu/
15-07-2018, 13:40 door Anoniem
@ 11:40 door Anoniem

Thanks! Dat kan nog wel eens van pas komen.
15-07-2018, 17:44 door Anoniem
Door Anoniem:
Door Anoniem: Ik was benieuwd hoe men dit precies doet: "GitHub tracks public vulnerabilities in Ruby gems, NPM and Python packages on MITRE's Common Vulnerabilities and Exposures (CVE) List." Zouden ze deze parser openbaar maken of moeten we dit zelf coden als we github niet gebruiken?
Ik weet niet of Github zich hierop gebaseerd is maar er bestaat software om een eigen vulnerabilitydatabase op te bouwen op basis van CVE's:
https://github.com/cve-search/cve-search
Ze worden volgens de inleiding op die pagina onder meer gebruikt voor deze publieke dienst:
https://cve.circl.lu/

De simpelste manier is om te kijken naar de database en dat te vergelijken wat via een taal specifieke package manager geinstalleerd zou worden. Zoals Javascript npm via de packages.json, Python modules via virtualenv, voor Ruby gems is ook zoiets je kunt daar ook versie nummers van een dependency module/package/gem opgeven die je wilt downloaden/installeren/nodig hebt voor de software die je gemaakt hebt.
16-07-2018, 07:43 door Anoniem
Door Anoniem: De simpelste manier is om te kijken naar de database en dat te vergelijken wat via een taal specifieke package manager geinstalleerd zou worden. Zoals [...] Python modules via virtualenv, [..].
Ik neem aan dat pip bedoelde. Virtualenv is geen package manager maar een hulpmiddel om (qua python runtime) verschillende wereldjes naast elkaar te kunnen hebben draaien zodat je verschillende versies van dezelfde module actief kan hebben voor verschillende toepassingen.

Je moet trouwens niet alleen kijken naar wat de package manager zou installeren, het gaat ook om nieuwe kwetsbaarheden in wat geïnstalleerd is.
17-07-2018, 17:30 door Anoniem
Cheat-sheet overlays, ZoomEye search queries en inter language converters.

Het blijft een gecompliceerd proces. Wel belangrijk waar je op stuk loopt en error analyse.

luntrus
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.

Zoeken
search
Certified Secure