GitHub sicher nutzen: So reduzieren Sie Ihr Risiko bei Fremdcode-Installation
Wo Nutzer GitHub-Projekte ungeprĂĽft lokal ausfĂĽhren, haben Angreifer leichtes Spiel. Mit diesen Tipps reduzieren Sie Ihr Risiko auch mit geringem Zeitaufwand.
(Bild: KI / heise medien)
- Udo Schneider
„GitHub? … das ist doch nur was für Entwickler!“ Bis vor wenigen Jahren konnte man so einem Satz weitgehend zustimmen. Doch inzwischen ist die Plattform auch bei unerfahrenen Nutzern beliebt: Dort erhalten sie Software direkt von der Quelle. Viele Hersteller spannender Tools machen ihre Software vor allem über GitHub und ähnliche Dienste der Öffentlichkeit zugänglich. Doch der offene Zugang hat seinen Preis.
Grundsätzlich gilt: Code von Fremden auszuführen, ist riskant. Und die wachsende Popularität von Plattformen wie Github zieht auch Angreifer an. Sie klonen etwa harmlose Projekte und verseuchen sie mit Malware. So lassen sich Hintertüren auf den Systemen ihrer Opfer einrichten, Ransomware oder Kryptominer installieren.
Dieser Artikel erläutert verschiedene Ansätze, die insbesondere Nicht-Softwareentwicklern und Nicht-Cybersecurity-Experten Anhaltspunkte geben, um offensichtlichere Kompromittierungen und Angriffe zu erkennen. Die Tipps beschreiben etwa, wie Einsteiger das Haupt-Repository eines gesuchten Projekts auf GitHub finden und von seinen Ablegern unterscheiden. Zudem behandelt er einige Suchansätze, um Kompromittierungen in Quellcode zu erkennen. Viele Gefahren lassen sich so reduzieren. Der Artikel konzentriert sich auf die Plattform GitHub, viele grundsätzliche Aussagen gelten implizit aber auch für andere Plattformen wie Gitlab, Gitea oder Codeberg.
Das war die Leseprobe unseres heise-Plus-Artikels "GitHub sicher nutzen: So reduzieren Sie Ihr Risiko bei Fremdcode-Installation". Mit einem heise-Plus-Abo können Sie den ganzen Artikel lesen.
