GitHub hat heute angekündigt, dass es seine Sicherheitslösungen mit den Funktionen GitHub Advanced Security und Private Instances erweitert. Außerdem stellte das Unternehmen Codespaces – eine Cloud-basierte Entwicklungsumgebung – und die Funktion Discussions vor.
Letztes Jahr hat GitHub das semantische Code-Scanning- und Sicherheitsunternehmen Semmel übernommen. Jetzt integriert das Code-Hosting-Unternehmen die Funktionen von Semmel, um ein integriertes Code-Scanning anzubieten.
Das Unternehmen sagt, dass das Code-Scanning eine native Erfahrung ist und jeden „Git-Push“ auf potenzielle Schwachstellen überprüft. Es verwendet CodeQL, ein Tool zur Abfrage der Codebasis nach potenziellen Fehlern, um Schwachstellen in Ihrem Projekt zu finden. Diese Funktion ist für jedes Open-Source-Projekt kostenlos.
Darüber hinaus führt GitHub auch das Scannen von Geheimnissen für private Repositories ein. Diese Funktion war bereits seit 2018 für öffentliche Repositories unter dem Namen Token Scanning verfügbar.
Wenn Sie Ihren Code auf GitHub hosten, aber eine Instanz auf einem beliebten Cloud-Dienst wie AWS, Alibaba Cloud, Google Cloud oder Azure betreiben, geben diese Dienste möglicherweise ein geheimes Token oder einen privaten Schlüssel aus. Wenn also Ihr Geheimnis – z. B. ein Passwort oder ein Schlüssel – in Ihrer öffentlich lesbaren Datei gespeichert ist, wird GitHub Sie benachrichtigen und Sie auffordern, die Datei an einen sicheren Ort zu verschieben. Die Liste der Cloud-Anbieter, die diese Funktion unterstützen, können Sie hier einsehen.
Für seine Unternehmenskunden hat das Unternehmen auch private Instanzen eingeführt, eine von GitHub verwaltete Serverinstanz, die auf die Anforderungen des Unternehmens abgestimmt ist.
Jamie Cool, Vice President of Security bei GitHub, erklärte gegenüber TNW, dass private Instanzen über auf Unternehmen abgestimmte Funktionen verfügen werden, wie z. B. „erweiterte Sicherheits-, Compliance- und Policy-Funktionen, einschließlich Bring-your-own-key-Verschlüsselung, Backup-Archivierung und Einhaltung regionaler Anforderungen an die Datensouveränität“.
Er fügte hinzu, dass es bei diesen Sicherheitsfunktionen nicht nur darum geht, die Behebung von Schwachstellen zu erleichtern und die Benutzer zu warnen, sondern auch zu verhindern, dass sie jemals eingeführt werden. GitHub sagte, dass private Instanzen bald kommen werden und dass die Preise dafür später bekannt gegeben werden.
