GitLab 27.07.2021, 10:03 Uhr

Package Hunter: Fehlerhaften Code erkennen

GitLab hat Package Hunter eingeführt, um Entwicklern zu ermöglichen, fehlerhaften oder gar bösartigen Code in ihren Abhängigkeiten (code dependencies) zu erkennen, bevor dieser Schaden anrichtet.
(Quelle: da-announcing-package-hunter.about.gitlab-review.app)
Dies betrifft zum Beispiel Code aus externen Bibliotheken, den Entwickler verwenden, um ihrer Anwendung zusätzliche Funktionen hinzuzufügen. Ferner will GitLab hiermit das allgemeine Vertrauen der Community in die Open-Source-Lieferketten stärken. GitLab hat Package Hunter als Test seit November im Einsatz, um die GitLab-Abhängigkeiten zu prüfen. Nun stellt GitLab Package Hunter der breiteren Community öffentlich zur Verfügung, damit diese es nutzen und Feedback geben können.
Moderne Programmier-Ökosysteme sind schnell und flexibel, unter anderem weil es so einfach ist, Code in öffentlichen Bibliotheken wiederzuverwenden, um neue Funktionen hinzuzufügen. Doch Entwickler können durch die regelmäßige Verwendung dieser Code-Abhängigkeiten versehentlich Fehler in die Software einführen.
GitLab erklärt die Funktionsweise von Package Hunter wie folgt: Es installiert die Abhängigkeiten in einer Sandbox-Umgebung und überwacht die während der Installation ausgeführten Systemaufrufe. Alle verdächtigen Systemaufrufe werden dem Benutzer zur weiteren Untersuchung gemeldet. Package Hunter unterstützt derzeit das Testen von NodeJS-Modulen und Ruby Gems.
Package Hunter ist kostenlos und im Quelltext verfügbar. Wenn Nutzer einen Fehler finden oder Vorschläge haben, möchte GitLab gerne davon erfahren. Benutzer können einen Hunter-Auftrag zu einem Projekt hinzufügen, indem sie das GitLab CI-Template verwenden und den Set-Up-Anweisungen folgen.
Weitere Informationen zum Package Hunter finden Sie in diesem Blogbeitrag von Dennis Appelt, Staff Security Engineer, Security Research bei GitLab.


Das könnte Sie auch interessieren