Das seit Ende 2018 zu Microsoft geh\u00f6rende GitHub ist Software-Entwicklern ein Begriff: Der netzbasierte Dienst dient der Versionsverwaltung von Software-Entwicklungsprojekten. Mit der Initiative GitHub Security Lab, die 2019 startete, m\u00f6chte GitHub Softwareentwickler, Sicherheitsforscher sowie Unternehmen zusammenbringen, um Code sicherer zu machen. Im heutigen Beitrag stellen wir Ihnen das GitHub Security Lab vor und erkl\u00e4ren, wie das CodeQL-Feature zu sicherem Code beitr\u00e4gt. Weiter zeigen wir Ihnen unter anderem die Ziele und Erfolge des GitHub Security Labs auf.<\/p>\n
Im November 2019 stellte GitHub mit Security Lab<\/a> eine Initiative vor, die die Code-Sicherheit im Open Source-\u00d6kosystem optimieren soll. Mit der Initiative wird das Ziel verfolgt, das Kooperieren verschiedener und an sicherer Software interessierter Parteien zu f\u00f6rdern. Entwickler, Sicherheitsforscher, aber auch Unternehmen kommen daf\u00fcr im GitHub Security Lab zusammen, mitunter sind Uber, Mozilla, Google sowie Oracle Partner.<\/p>\n Das GitHub Security Lab-Team m\u00f6chte Sicherheitsforscher aus unterschiedlichen Firmen zusammenbringen, um deren Arbeit leichter koordinieren zu k\u00f6nnen. Eigene Veranstaltungen, die \u00fcber Twitter angek\u00fcndigt<\/a> werden, sollen diesem Zusammenkommen dienen.<\/p>\n Sicherheitsforscher sowie Entwickler bekommen die M\u00f6glichkeit, Patches in nicht \u00f6ffentlichen Bereichen, den sogenannten \u201eSecurity Advisorys\u201c, zu besprechen. Entwickler k\u00f6nnen in diesen privaten Security Advisorys CVE-Nummern beantragen. S\u00e4mtliche Entwickler erhalten automatisiert Hinweise auf etwaige Sicherheitsl\u00fccken, in deren Abh\u00e4ngigkeit ihre Projekte wom\u00f6glich stehen.<\/p>\n Das Token Scanning ist ein weiteres Sicherheitsfeature der GitHub Security Lab: Zugriffsschl\u00fcssel lassen sich in \u00f6ffentlichen Repositorys suchen. In diesem Fall werden Entwickler darauf hingewiesen, den eigentlich privaten Schl\u00fcssel ver\u00f6ffentlicht zu haben.<\/p>\n Das Tool CodeQL wird seither kostenfrei f\u00fcr Open-Source-Projekte angeboten. Von Semmle urspr\u00fcnglich entwickelt, dient es der semantischen Codeanalyse. Semmle war eines jener Unternehmen, die GitHub im Jahr 2019 \u00fcbernommen<\/a> hatte.<\/p>\n In der GitHub Advisory Database<\/a> werden auf und von GitHub entdeckte Sicherheitsl\u00fccken \u00fcbersichtlich gelistet. Nutzer haben die M\u00f6glichkeit, hier nach CVEs zu suchen, in Kommentaren auf CVEs zu verlinken oder die Ergebnisse nach \u00d6kosystem sowie Schweregrad zu filtern.<\/p>\n Das Kern-Feature des GitHub Security Labs ist CodeQL: Mit dem Tool ist das Scannen des Codes m\u00f6glich. Entwickler werden durch das Feature des GitHub Security Labs also dabei unterst\u00fctzt, potenzielle Sicherheitsl\u00fccken im Quellcode zu finden \u2013 und zwar m\u00f6glichst, bevor das Software-Projekt die Ver\u00f6ffentlichung erreicht. Im Oktober 2020 verlie\u00df CodeQL die Beta-Phase, seither ist das Tool f\u00fcr alle verf\u00fcgbar.<\/p>\n Die Code-Analyse-Engine, f\u00fcr Open-Source-Projekte, kommt aus dem Hause Semmle. Seit der \u00dcbernahme durch GitHub arbeitete man daran, die Code-Analyse-F\u00e4higkeiten weiter zu verbessern. Programme von Drittanbietern, die die Funktionalit\u00e4t durch Hinzuf\u00fcgen innerhalb der Konfiguration erweitern, werden auf GitHub als \u201eActions\u201c bezeichnet.<\/p>\n Seit CodeQL vor etwas \u00fcber einem Jahr aus der Betaphase entlassen wurde, stehen mehr als 2.000 vordefinierte CodeQL-Abfragen bereit, jedoch sind auch benutzerdefinierte Abfragen m\u00f6glich. Bestehender oder neu geschriebener Quellcode l\u00e4sst sich so auf Schwachstellen pr\u00fcfen. Basierend auf dem offenen SARIF<\/a>-Standard, wird der Code gescannt, w\u00e4hrend er erstellt wird. Sicherheits\u00fcberpr\u00fcfungen innerhalb von Pull-Anfragen werden unterst\u00fctzt.<\/p>\n So gelingt es, die Code-Sicherheit zum automatisierten Bestandteil in Entwicklungs-Workflows werden zu lassen. Schwachstellen gelangen so nicht in die Produktion und es k\u00f6nnen sich keine Exploits, also von Cyberkriminellen ausgenutzte Schwachstellen, entwickeln. Entdeckt das Code-Scanning-Feature Schwachstellen, fordert es beteiligte Entwickler in den Security-Reviews auf, den Code entsprechend anzupassen \u2013 und zwar so lange, bis das Tool auf keine Schwachstellen mehr st\u00f6\u00dft. Mit etwaigen \u00c4nderungsvorschl\u00e4gen \u00fcberw\u00e4ltigt das Tool des GitHub Security Labs seine Nutzenden nicht: Es zeigt lediglich m\u00f6gliche Sicherheitsregeln an, die vom Entwickler umgesetzt werden k\u00f6nnen.<\/p>\n Code soll sicherer werden \u2013 dies hat sich GitHub mit dem GitHub Security Lab auf die Fahnen geschrieben. Und dieses ambitionierte Projekt darf auch schon erste Meilensteine auf dem Weg dorthin feiern: Das GitHub Security Lab-Team fand bereits im ersten Jahr mehr als 400 Issues durch manuelle Code-Pr\u00fcfungen, gezieltes Fuzzing sowie Variantenanalyse, die durch CodeQL gesteuert wurde. Betroffen gewesen seien auch Gro\u00dfprojekte wie Android, Google Chrome, Ubuntu sowie der Linux-Kernel oder Java-Enterprise-Anwendungen.<\/p>\n Wie das GitHub Security Lab-Team im hauseigenen Blog erkl\u00e4rt<\/a>, habe man auch dabei geholfen, einen aktiven Angriff auf eine OSS-Lieferkette aufzuhalten. Weiter trug die Initiative von GitHub Security Lab dazu bei, eine als kritisch eingestufte Remote-Schwachstelle in der deutschen Corona-Warn-App<\/a> zu identifizieren. Das GitHub Security Lab-Team ruht sich auf diesen Erfolgen jedoch nicht aus, sondern plant auch f\u00fcr 2021:<\/p>\n <\/p>\n Gender-Disclaimer:Security Advisorys und weitere Tools<\/h3>\n
Code-Scanning mit CodeQL<\/h2>\n
Wie arbeitet CodeQL?<\/h3>\n
Ziele & Erfolge des GitHub Security Lab-Teams<\/h2>\n
\n
\nZur besseren Lesbarkeit und zur Vermeidung von Gender-Sternchen verwenden wir das generische Maskulinum f\u00fcr Substantive und meinen damit alle nat\u00fcrlichen Personen unabh\u00e4ngig ihres Geschlechts.<\/p>\n