Node.js kämpft mit Flut an automatisierten Sicherheitsreports | heise online
heise+ entdecken
SuchenAbo
Suchen
Alle Magazine im Browser lesen<br>AnzeigeSpecial: Collaboration im KI-Zeitalter
Newsletter<br>heise-Bot<br>Push-Nachrichten
${lead}
${lead}
${content}
${content}
${content}
${content}
Anzeige<br>Special: Collaboration im KI-Zeitalter
Anzeige
Anzeige
close notice
This article is also available in<br>English.
It was translated with technical assistance and editorially reviewed before publication.
Don’t show this again.
Das Node.js-Team diskutiert derzeit darüber, den Workflow für die Flut an eingereichten, LLM-generierten Sicherheitsmeldungen zu ändern. Ideen sind, die Meldungen öffentlich zu bearbeiten und mit künstlicher Intelligenz vorzusortieren.
Weiterlesen nach der Anzeige
Das Team hat das Problem jetzt auf die Agenda des nächsten Treffens der Security Working Group am 7. Juli gesetzt. Der Initiator Rafael Gonzaga schreibt, dass alle bisherigen Maßnahmen nicht geholfen haben: „Wir sind nach wie vor überlastet.“
Daher schlägt er vor, die eingereichten Meldungen zu veröffentlichen und als Pull Requests (PR) abzuarbeiten. Bei den Einreichungen handelt es sich oft nur um Bugs, die auch gefixt gehören, aber weniger um wirkliche sicherheitsrelevante Lücken. Außerdem kommen so viele gleichartige Meldungen an, die quasi jeder mit LLM erzeugen kann: „Diese Funde sind praktisch eh schon öffentlich.“ Als PR kann sich die Community darum kümmern und das Kernteam ist entlastet.
Eine Vorsortierung durch KI könnte nur die wirklich ernsthaften Lücken erkennen und nicht öffentlich an das Sicherheitsteam zur Bearbeitung weiterleiten.
Videos by heise
mehr Videos
c't 3003
heise & ct
Peertube
Gegenstimmen geben zu bedenken, dass der Vorschlag die Masse an Sicherheitsreports durch eine Masse an PRs ersetzt, die auch vom Kernteam geprüft werden müssen. Außerdem könnten die veröffentlichten Lücken Hacker anziehen, „als kostenlose Quelle für Ideen für automatisierte Attacken.“ Daher schlagen andere Maintainer vor, nicht die komplette Öffentlichkeit einzubeziehen, aber den Kreis auf alle Mitarbeitenden (collaborators) zu erweitern.
Weiterlesen nach der Anzeige
Kampf gegen den AI-Slop
Wie viele andere Projekte kämpft Node.js mit AI Slop und hat im April bereits das Bug-Bounty-Programm zur Belohnung von Warnungen gestrichen. Auch zu solchen Maßnahmen waren andere Projekte bereits gezwungen. Das hat laut Gonzaga aber keine Erleichterung gebracht, da es den Einreichenden eher um den Ruhm als Autor auf einer offiziellen CVE-Warnmeldung zu erscheinen geht, als um Geld.
Auch andere Maßnahmen führten nicht zum Erfolg: höhere Hürden bei der Reporting-Plattform HackerOne, engere Relevanzkriterien und automatisiertes Schließen von Reports minderer Qualität. Letzteres hat sogar dazu geführt, dass mehr Meldungen bei der Mutter OpenJS landeten. „Bald wird auch dieses Team überlastet sein“, schließt Gonzaga.
(who)
Dieser Link ist leider nicht mehr gültig.
Links zu verschenkten Artikeln werden ungültig,<br>wenn diese älter als 7 Tage sind oder zu oft aufgerufen wurden.
Sie benötigen ein heise+ Paket, um diesen Artikel zu lesen. Jetzt eine Woche unverbindlich testen – ohne Verpflichtung!
Wochenpass bestellen
Sie haben heise+ bereits abonniert?
Hier anmelden.
Oder benötigen Sie
mehr Informationen zum heise+ Abo
montags und donnerstags - alles von heise developer
E-Mail-Adresse
Jetzt anmelden
Ausführliche Informationen zum Versandverfahren und zu Ihren<br>Widerrufsmöglichkeiten erhalten Sie in unserer<br>Datenschutzerklärung.
Anzeige
Anzeige
10 Gründe für eine neue Firmenhomepage
Themenspecial: Digitale Souveränität
Zu viele Endpoints, zu wenig Überblick?
Sicher verschlüsselte E-Mails aus Deutschland
IT-Störungen proaktiv erkennen
Wahre Datensouveränität beginnt am Blech
Wann sich ein wirkungsvoller Solarspeicher lohnt
Wie KI den Beschäftigten im Krankenhaus hilft
Multi-Faktor-Authentifizierung beim Windows-Login
Gesünder leben beginnt am Handgelenk
Immer informiert bleiben: Klicken Sie auf das Plus-Symbol an einem Thema, um diesem zu folgen. Wir zeigen Ihnen alle neuen Inhalte zu Ihren Themen.
Mehr erfahren.
Automatisierung
laden...
Thema gefolgt<br>Thema folgen<br>Entfolgen
IT
laden...
Thema gefolgt<br>Thema folgen<br>Entfolgen
Künstliche Intelligenz
laden...
Thema gefolgt<br>Thema folgen<br>Entfolgen
Open Source
laden...
Thema gefolgt<br>Thema folgen<br>Entfolgen
Sicherheitslücken
laden...
Thema gefolgt<br>Thema folgen<br>Entfolgen
Forum bei heise online:<br>Projektmanagement
Kurzlink:
https://heise.de/-11355142
Anzeige
Anzeige
Newsletter
heise-Bot
heise-Bot
Push Nachrichten
Push
Push-Nachrichten
kopieren
heise+ ab 2,99 € pro Woche lesenJetzt heise+ entdecken – ab 2,99 € pro Woche<br>Mit heise+ lesen Sie alle Inhalte auf heise online. Zusätzlich zu unseren Magazin-Inhalten erhalten Sie damit weitere exklusive Tests, Ratgeber und Hintergründe.Mit heise+ lesen Sie alle Inhalte auf heise online. Zusätzlich zu...