Die GitLab-Versionen 16.11.1, 16.10.4 und 16.9.6 für die GitLab Community Edition (CE) und Enterprise Edition (EE) enthalten wichtige Fehlerbehebungen und Sicherheitspatches.

Mit GitLab Duo Pro ist bei GitLab ab Februar ein KI-Add-on verfügbar, das über alle GitLab-Bereitstellungsoptionen, einschließlich SaaS, Self-Managed und Dedicated für 19 US-Dollar pro Nutzer und…

Mit den Versionen 16.7.2, 16.6.4, 16.5.6 für die Gitlab Community Edition (CE) und die Enterprise Edition (EE) schließt der Anbieter von Diensten zur Softwareentwicklung und Versionsverwaltung…

Mit den Versionen 16.6.1, 16.5.3 und 16.4.3 für die

Die quelloffene GitHub-Alternative für Entwickler li

Die quelloffene GitHub-Alternative für Entwickler li

GitLab hat den 9. Global DevSecOps-Report: The State of AI in Software Development veröffentlicht. Weltweit wurden dafür mehr als 1000 Führungskräfte aus der IT-Branche, Entwickler sowie Sicherheits- und Operations-Fachkräfte befragt.

Laut dem GitLab Global DevSecOps Report wenden Entwickler nur 25 Prozent ihrer Arbeitszeit für die Code-Erstellung auf. Um das volle Potenzial von KI auszuschöpfen, müsse sie in den gesamten Lebenszyklus der Softwareentwicklung eingebettet werden, sagt David DeSanto, Chief Product Officer bei GitLab.

Zu den wichtigsten Ergebnissen des Berichts zählt, dass der Schutz der Privatsphäre und des geistigen Eigentums gewahrt bleiben müssen. 95 Prozent der Führungskräfte in der IT-Branche räumen bei der Auswahl eines KI-Tools dem Schutz der Privatsphäre und des geistigen Eigentums Priorität ein.

32 Prozent der Befragten machen sich „große“ oder „sehr große“ Sorgen, wenn es darum geht die KI in den Softwareentwicklungszyklus einzuführen. Von diesen Befragten sind 39 Prozent besorgt, dass KI-generierter Code Sicherheitslücken aufweisen könnte, und 48 Prozent  sind besorgt, dass KI-generierter Code nicht demselben Urheberrechtsschutz unterliegt wie von Menschen erstellter Code.

Sicherheitsexperten befürchten, dass KI-generierter Code zu mehr Sicherheitsschwachstellen führen könnte – und damit zu Mehrarbeit für sie, heißt es im Report. Denn nur 7 Prozent ihrer Zeit verwenden Entwickler dafür, Sicherheitslücken zu identifizieren und zu beheben, 11 Prozent für das Testen von Programmcode.

48 Prozent der Entwickler sehen mit deutlich höherer Wahrscheinlichkeit schnellere Entwicklungszyklen als Vorteil von KI an, verglichen mit 38 Prozent der Sicherheitsexperten. 51 Prozent aller Befragten sehen Produktivitätssteigerungen bereits als einen Hauptvorteil von KI-Implementierungen.

Der Report kann bei GitLab gegen Registrierung gelesen werden.

Der Beitrag GitLab-Report: The State of AI in Software Development erschien zuerst auf Linux-Magazin.

Kurz angemerkt: beim Update eines GitLab-Servers per APT trat folgende Fehlermeldung auf:

The following signatures were invalid: EXPKEYSIG 3F01618A51312F3F GitLab B.V. (package repository signing key) <packages@gitlab.com>

Der Hintergrund ist recht einfach und wird auch auf der entsprechenden Hilfeseite erklärt:

This key’s expiration was extended from 2022-03-02 to 2024-03-01. If you encounter a complaint of expiration on 2022-03-02, perform the steps in Update keys after expiry extension to incorporate the updated public key content.

So lief tatsächlich der Repository Key in der Mitte der Woche regulär aus und muss nun erneuert bzw. aktualisiert werden, da seine Laufzeit erweitert wurde. Die Anleitung, wie man den Key aktualisieren kann, wird auf besagter Hilfeseite ebenfalls zur Verfügung gestellt. Danach verläuft das Upgrade wieder wie gehabt.

[GitLab.com Issue]

Container sind nach wie vor in alle Munde. Wer, der Einfachheit halber, mit Docker hantiert, der sollte regelmäßig die Aktualität der verwendeten Images prüfen. Nicht erst seit Log4j verbergen sich unerwünschte Sicherheitslücken in veralteten Images.

Trivy

Das Open-Source-Tool Trivy bietet die Möglichkeit lokale Images, direkt im Filesystem oder entfernte Repositorys nach Lücken zu scannen. Das Programm scannt unter anderen Base Images wie Alpine, Debian, Ubuntu, CentOS, SUSE, Photon OS, Paketmanager und andere Abhängigkeiten mithilfe der eigenen Schwachstellendatenbank ab.

Die Trivy Datenbank basiert auf NVD und diverser Security Meldungen einzelner Programmiersprachen (siehe).

Installation Trivy Security Scanner Debian/Ubuntu

sudo apt-get install wget apt-transport-https gnupg lsb-release
wget -qO - https://aquasecurity.github.io/trivy-repo/deb/public.key | sudo apt-key add -
echo deb https://aquasecurity.github.io/trivy-repo/deb $(lsb_release -sc) main | sudo tee -a /etc/apt/sources.list.d/trivy.list
sudo apt-get update
sudo apt-get install trivy

Einen Scan mit Trivy anstoßen

Um die Übersicht der Scanergebnisse zu behalten, empfiehlt es sich, die Ausgabe auf kritische Lücken zu beschränken

trivy image --severity HIGH,CRITICAL IMAGENAME

Das Tool erlaubt es ebenfalls einen HTML Report zu veröffentlichen

trivy image --format template --template "@contrib/html.tpl" -o report.html golang:1.12-alpine

Trivy kann auch das Filesystem untersuchen.

trivy fs /path/to/project

Schlussendlich kann auch direkt via GitHub gescannt werden.

trivy repo https://github.com/knqyf263/trivy-ci-test

Fazit

Wer Docker im Einsatz hat, sollte die verwendeten Images regelmäßig auf Sicherheitslücken und Abhängigkeiten prüfen. Der Profi baut seine Images sicher selbst und weiß, was er tut, allerdings übersieht ein DevOp auch dort mal Abhängigkeiten. Auch hier schafft Trivy praktische Abhilfe, denn es lässt ich schnell in CI Workflows, beispielsweise von Gitlab integrieren.