GitHub erweitert "Security Alerts" mit Machine Learning

Seit fast genau einem Jahr bietet Github "Security Alerts", wenn man den sogenannten "Dependency Graph" aktiviert hat. Diese Alarme sollen Anwendern automatisch Schwachstellen in Abhängigkeiten melden und bekannte Korrekturen aus der Community vorschlagen. Sie basieren auf jenen Sicherheitswarnungen mit CVE-IDs, die in der National Vulnerability Database veröffentlich sind.
 
Sicherheitsfixes würden nun aber in verschiedensten Quellen etwa CVE-Feeds, Mailinglisten, Open-Source-Gruppen oder sogar in Versionenhinweisen oder im Changelog veröffentlicht. Wenn Entwickler innerhalb der GitHub-Community diese Hinweise sehen und die Abhängigkeit ihrer Projekte auf eine bekannte sichere Version ändern würden, könne dies nun in die "Security Alerts" einfliessen. Dazu habe man die "Security Alerts" um Machine Learning erweitert, so GitHub.
 
Das Modell scanne Texte von öffentlichen Commits, um diejenigen herauszufiltern, die mit Sicherheitsupdates zusammenhängen könnten. Bei den dabei erkannten sicherheitsspezifischen Änderungen verwende das Modell dann die Funktion Diff – stellt also die beiden Versionen gegenüber – um zu sehen wie sich die erforderlichen Versionsbereiche geändert hätten. Danach würden die Daten aggregiert, um eine ganzheitliche Sicht auf alle Abhängigkeiten zu erhalten, die ein Sicherheitsrelease betreffen könnte. Abschliessend gebe das Modell dann eine Liste von Paketen und Versionsbereichen aus, die seiner "Meinung" nach einen Alarm erfordern und derzeit von keinem bekannten CVE im System abgedeckt werden. So die Beschreibung des Plattformbetreibers.
 
Dabei weist GitHub auch auf die Schwächen des Modells hin, das derzeit noch False-Positives erzeuge. Über die Menge der Fehlalarme schreibt das Unternehmen indes nichts. Man arbeite aber an der Qualität der "Security Alerts". (ts)