GOPHERSPACE.DE - P H O X Y
gophering on hngopher.com
HN Gopher Feed (2017-11-16) - page 1 of 10
 
___________________________________________________________________
Security alerts on GitHub
361 points by stablemap
https://github.com/blog/2470-introducing-security-alerts-on-github
-on-github
___________________________________________________________________
 
maaaats - 4 hours ago
Retire.js does this for JS locally, we have a nightly check for our
apps. https://retirejs.github.io/
 
colemickens - 3 hours ago
(Meta: That GIF should have been two small screenshots. No
animation, no looping, no racing to understand before it switches
frames. Stop making things GIFs that don't need to be GIFs. It
hurts accessibility and adds nothing.)
 
  minus7 - 3 hours ago
  Or at least a WebM. But not a fucking 2.8 MiB large GIF.
 
gbrown_ - 2 hours ago
This is nice but I really hope people don't become complacent with
this and rely on GitHub to notify them of such things.
 
  jrochkind1 - 2 hours ago
  I don't know of any way to keep up with vulnerabilities _except_
  an automated system. I use `bundle audit` in ruby-land. I don't
  know why github's automated system will be worse than anyone
  elses.What alternative is there? Hoping you notice something on a
  listserv and realize its' one of your (possibly indirect)
  dependencies? That does not seem better. Automated monitoring and
  alert is the way to go.And _everyone_ should _always_ be filing
  CVE's for their vulnerabilities, to make automated detection so
  much easier.
 
    tkadlec - 2 hours ago
    Automated tooling is a must, yes. The riskiest part about
    relying on ONLY GH's solution (IMO) is the NVD/CVE limitation.I
    agree, CVE would be _awesome_ in theory. In reality, very few
    file for CVE's and so the coverage is iffy (~11% of npm package
    vulns and about ~67% of rubygem vulns
    https://snyk.io/stateofossecurity/).But it goes beyond that.
    There was a great paper earlier this year
    (https://arxiv.org/abs/1705.05347) that highlighted many other
    issues: lag between CVE and NVD (which is where all the useful
    info comes from), mismatched CPE's, nonexistent CPE's, etc.I
    would love to see us get to a point where the CVE/NVD was
    enough, but we're far from it right now.
 
      gbrown_ - 37 minutes ago
      > The riskiest part about relying on ONLY GH's solution (IMO)
      is the NVD/CVE limitation.Yup, that is the point I was trying
      to make.
 
qmachu - 5 minutes ago
Just like Clair (https://github.com/coreos/clair), only, for GitHub
 
isarat - 4 hours ago
iOS projects with Fastlane automatically looks for vulnerabilities
with the gems installed.
 
burntrelish1273 - 41 minutes ago
This is awesome! I found a security issue in an Elixir/Erlang
project that was a dependency of many other projects and it was
manual and complicated to coordinate amongst them. IIRC I suggested
this to one of the other parties, although it seems trivial and
obvious to other people, but it's good that GH also came upon this
independently and shipped it.
 
conradk - 4 hours ago
Clicked through the link to the security apps on the Github
Marketplace and had a look at Snyk.io's pricing: 119$ through
Github, 99$ if you get it straight from Snyk.io.And looking deeper
into Github Marketplace pricing, I can see that Github takes a 25%
cut (https://developer.github.com/apps/adding-
integrations/managi...).What is the benefit of getting anything via
the Github marketplace that can be subscribed to outside of the
marketplace ? What justifies that 25% cut appart from having a
listing of apps ?
 
  aupright - 3 hours ago
  Hey, I'm one of the cofounders of ZenHub - we're another popular
  integration on the marketplace and also sell our product
  separately through our own website.From a company/integration on
  the marketplace, the marketplace has been great in terms of
  building awareness and exposure. Can confidently say that we've
  been able to reach new users and customers that we wouldn't have
  otherwise had if we weren't on the marketplace.From the
  perspective of a GitHub user/team, lots of teams prefer to
  consolidate everything together on a single invoice. If you're
  using GitHub for software development, you're almost certainly
  going to need a CI/CD tool and PM tool, so why not bring
  everything together on a single bill?
 
    ssijak - 1 hours ago
    Single bill is not a reason to pay 25 percent more for
    everything.
 
      samlewis - 16 minutes ago
      If you're a large enterprise, paying an extra $20/month could
      definitely be worth not having the pain & cost of having your
      employees having to manage paying an extra bill each month.
 
  Khalos - 3 hours ago
  Perhaps GitHub is taking a cut from the purchase when purchased
  through their marketplace (20% is reasonably close to other
  marketplaces). Some services may be building that into the price.
 
  petercooper - 3 hours ago
  What is the benefit of getting anything via the Github
  marketplace that can be subscribed to outside of the
  marketplace?Potentially, your company might have a GitHub account
  you're allowed to add services to, but the finance department is
  less keen on new accounts. It also provides a well known company
  to complain to instead of yet another small vendor. Things
  enterprisey type customers tend to like. Manifold -
  https://www.manifold.co/ - is another player in this space.
 
    rvanmil - 2 hours ago
    Exactly. Heroku Add-ons are also fantastic in that regard.
 
humblebee - 3 hours ago
Does it work in a mono repo, or where the Gemfile / package.json
are not in the root of the project?
 
  holman - 3 hours ago
  Yup. I have a monorepo with 5-6 Gemfiles/package.jsons in
  subdirectories and it picks 'em all up.
 
braunshizzle - 1 hours ago
I noticed this yesterday. Too bad there's no Composer support (PHP)
 
  gellerb - 17 minutes ago
  One can use sourceclear.com for Composer.
 
throwaway2016a - 3 hours ago
Well this is frustrating. There is an issue with one of my projects
apparently (actually saw it before I saw this on HN) and it is
because of one of my indirect dependencies.I presume in this
scenario I need to either wait for a patch from the direct
dependency or fork and submit a PR myself.It's a great idea. I like
it quite a bit. I just feel like the floodgates just got
opened.Would be great to see PHP and Python in there.
 
  jacobra2 - 2 hours ago
  There is now an incentive for that vulnerability to be addressed
  that didn't exist before.  Seems like a security win overall.
 
dmitriid - 2 hours ago
> Social Network for ChildrenLego forums (I don't know if they
still exist though). Apparently they went to great lengths to make
them safe and accessible for children.That said though, if anyone
can crack this problem, it will be awesome. Children are already
social, and are increasingly on the internet. And there are very
few, if any, kid-friendly (not kid-condescending, or kids-as-
afterthought) resources.Most of the other problems listed look like
first-world problems.
 
  icebraining - 1 hours ago
  Wrong thread.
 
BugsJustFindMe - 4 hours ago
Appears to be only for Ruby gems and Node.js packages. It's a
start, though I was hoping to be able to indicate C++ library
dependencies.The lack of Python requirements.txt support is a bit
odd, since it's conceptually quite similar to the two supported
mechanisms.
 
  dflock - 4 hours ago
  > with Python support coming in 2018.
 
  sciurus - 1 hours ago
  Yeah, but for proper python support you need to handle setup.py
  too, which being python code is more complex.https://python-
  packaging.readthedocs.io/en/latest/dependenci...
 
    scrollaway - 40 minutes ago
    And setup.cfg!Example: https://github.com/HearthSim/python-
    hslog/blob/master/setup....
 
  Dunedan - 3 hours ago
  In the meanwhile you can use a combination of pre-commit (http
  ://pre-commit.com/) and safety-db (https://github.com/pyupio
  /safety-db) in form of https://github.com/Lucas-C/pre-commit-
  hooks-safetyThat allows you to run a check for vulnerable
  packages before each commit and via CI.
 
  pknopf - 4 hours ago
  How would you effectively do this in a way that is cross-build-
  platform friendly? CMAKE? autoconf? submodules?I don't see that
  happening.
 
    adekok - 3 hours ago
    Text files?If people get value from it, editing a simple text
    file once or twice a year wouldn't be difficult.
 
      pknopf - 3 hours ago
      I see.A text file that just declares that "this project uses
      lib 2.1". It isn't a part of the build system in any way.That
      would be awesome.
 
      scott_karana - 2 hours ago
      Adding a second source of truth sounds like a bad idea to me.
      Now you have to update it in lockstep? No thanks.
 
        icebraining - 1 hours ago
        You could make the build tool generate this standard file.
 
  pavel_lishin - 2 hours ago
  Support for POM files would be nice, too.
 
lhinds - 4 hours ago
No python support :*(
 
  ubernostrum - 3 hours ago
  You can use requires.io or pyup.io right now for Python.
 
  spatulon - 3 hours ago
  This is something that lgtm.com supports. Right now, I can't find
  a Python project with a dependency on a vulnerable package to
  show you, but here's the page that shows Django's dependencies
  (and this is where a known vulnerable version would be highlighte
  d).https://lgtm.com/projects/g/django/django/dependencies
 
  gellerb - 19 minutes ago
  One can use sourceclear.com for Python support.
 
  hugo19941994 - 4 hours ago
  The post mentions it will be coming in 2018
 
  urda - 4 hours ago
  But hey!  Python support coming in 2018.
 
RickHull - 1 hours ago
I've been using https://hakiri.io/ for this on my ruby github
projects[1].[1]
https://github.com/rickhull?tab=repositories&type=source&lan...
 
tomschlick - 2 hours ago
Hopefully PHP (composer.json) support makes it in soon! :)
 
iRobbery - 2 hours ago
I'd like it if github shows which projects had to be reminded of
vulnerabilities this way instead of the developers
knowing/addressing things themselves.
 
benrubydev - 2 hours ago
It seems like GitHub is slowly moving towards building their own
static code analysis and security scanning. CI is probably coming
up. This will bury many 3rd party services, but will be more
convenient for end users.
 
  sdesol - 5 minutes ago
  I've said this in the past, but you really have to focus on the
  more difficult things, if you want to stay competitive in Git
  hosting.  If it is easy to implement and is useful, one of your
  competitors, is going to copy you.Right now GitHub, GitLab,
  Bitbucket, Microsoft, Gogs/Gitea, etc. all have something unique
  to them, but none of them, have the lock in power, like it was in
  the past with Perforce, ClearCase and other SCMs.GitLab and other
  open source solutions, has turned core Git hosting functionality,
  into commodity features, that people expect to be good and cheap.
  So it only makes sense to start focusing on the not so hard
  things to do, which can't be easily duplicated.
 
  busterarm - 2 hours ago
  GitLab is giving them some competition so they've got to step it
  up.  Nice to see, honestly.
 
LukeB42 - 59 minutes ago
I love whoever's responsible for this.
 
alexlrobertson - 3 hours ago
Just looked at the "dependencies" for one of my projects and it
interprets "react" as this 5 year old, defunct repo:
https://github.com/wballard/react.
 
  Spazer - 3 hours ago
  Get in touch with support, they can point it to the correct
  place!
 
  Klathmon - 1 hours ago
  How are you depending on react?I just checked 3 of my projects
  that use it, and all 3 are pointing to the correct "facebook
  react" repo.
 
  caffed - 2 hours ago
  I am thinking that it's because the React package.json does not
  have `repository` listed.https://github.com/facebook/react/blob/m
  aster/package.jsonSee Redux:
  https://github.com/reactjs/redux/blob/master/package.json#L3...
 
    wereHamster - 1 hours ago
    Let's be honest, unless you use a private NPM registry, "react"
    means https://www.npmjs.com/package/react. GitHub should use
    the standard resolution algorithm as employed by npm/yarn (the
    CLI tools).
 
SEJeff - 3 hours ago
How long before this makes github enterprise I wonder.
 
  CaliforniaKarl - 1 hours ago
  I think the answer will be: Once it has been on github.com long
  enough for people to find any issues that GitHub themselves
  missed in their internal testing.
 
craigkerstiens - 4 hours ago
When I ran the languages team at Heroku this was something we'd in
some ad-hoc basis do for customers when there were major
vulnerabilities. To see this fully productized is absolutely
awesome! Well done to the GitHub team.
 
  [deleted]
 
hartator - 3 hours ago
Not sure about this. I can see this as an "added stress" if we
can't update a dependency for whatever reason and alerts keep
popping in.
 
  jrochkind1 - 2 hours ago
  I do see how knowing that your app has vulnerabilties that you
  don't plan to fix could be stressful. :)Whether github is doing
  it or not, the baddies will be using similar tools to scan I'm
  sure.
 
  comboy - 2 hours ago
  With this kind of reasoning you don't need any logging on your
  servers.
 
danjoc - 19 minutes ago
Have had this for years.mvn org.owasp:dependency-check-
maven:checkJava FTW again :)