GitLab
27.07.2021, 10:03 Uhr
Package Hunter: Fehlerhaften Code erkennen
GitLab hat Package Hunter eingeführt, um Entwicklern zu ermöglichen, fehlerhaften oder gar bösartigen Code in ihren Abhängigkeiten (code dependencies) zu erkennen, bevor dieser Schaden anrichtet.
Dies betrifft zum Beispiel Code aus externen Bibliotheken, den Entwickler verwenden, um ihrer Anwendung zusätzliche Funktionen hinzuzufügen. Ferner will GitLab hiermit das allgemeine Vertrauen der Community in die Open-Source-Lieferketten stärken. GitLab hat Package Hunter als Test seit November im Einsatz, um die GitLab-Abhängigkeiten zu prüfen. Nun stellt GitLab Package Hunter der breiteren Community öffentlich zur Verfügung, damit diese es nutzen und Feedback geben können.
Moderne Programmier-Ökosysteme sind schnell und flexibel, unter anderem weil es so einfach ist, Code in öffentlichen Bibliotheken wiederzuverwenden, um neue Funktionen hinzuzufügen. Doch Entwickler können durch die regelmäßige Verwendung dieser Code-Abhängigkeiten versehentlich Fehler in die Software einführen.
GitLab erklärt die Funktionsweise von Package Hunter wie folgt: Es installiert die Abhängigkeiten in einer Sandbox-Umgebung und überwacht die während der Installation ausgeführten Systemaufrufe. Alle verdächtigen Systemaufrufe werden dem Benutzer zur weiteren Untersuchung gemeldet. Package Hunter unterstützt derzeit das Testen von NodeJS-Modulen und Ruby Gems.
Package Hunter ist kostenlos und im Quelltext verfügbar. Wenn Nutzer einen Fehler finden oder Vorschläge haben, möchte GitLab gerne davon erfahren. Benutzer können einen Hunter-Auftrag zu einem Projekt hinzufügen, indem sie das GitLab CI-Template verwenden und den Set-Up-Anweisungen folgen.
Weitere Informationen zum Package Hunter finden Sie in diesem Blogbeitrag von Dennis Appelt, Staff Security Engineer, Security Research bei GitLab.