Versionsverwaltungsplattform GitLab erweitert Maßnahmen gegen Crypto-Miner
Wer die kostenfreie Cloud-Edition nutzt, muss ab sofort Kreditkartendaten hinterlegen, um Shared Runners für Continuous Integration nutzen zu können.
(Bild: Sittipong Phokawattana/Shutterstock.com)
- Rainald Menge-Sonnentag
Die Betreiber der Versionsverwaltungsplattform GitLab haben offensichtlich vermehrt mit Missbrauch der freien Angebote durch Crypto-Miner zu kämpfen. Als eine Gegenmaßnahme müssen alle neuen Nutzerinnen und Nutzer der kostenlosen Free-Variante in der Cloud ab sofort Daten einer gültigen Debit- oder Kreditkarte hinterlegen, wenn sie Shared Runners für CI/CD-Jobs (Continuous Integration, Continuous Delivery) verwenden möchten.
Kontinuierliche Integration von Crypto-Mining
Diese Jobs automatisieren das Erstellen und Verteilen von Softwareprojekten. Entwicklungsteams können den CI/CD-Prozess automatisch bei Änderungen im Quellcode anstoßen, um den Source zu kompilieren, zu testen und schließlich dort einzurichten, wo er im Produktivbetrieb läuft. Der Prozess erfolgt in einer Pipeline, die Software zum Abarbeiten der einzelnen Schritte aneinanderreiht.
Da sich die einzelnen Schritte weitgehend frei gestalten lassen, lässt sich die Pipeline für andere Aufgaben als den eigentlichen CI/CD-Prozess verwenden. So können Crypto-Miner kostenlose Cloud-Angebote für ihre Zwecke ausnutzen. Das betrifft nicht nur GitLab: Der Betreiber eines Continuous-Integration-Dienstes Travis CI hatte im Herbst 2020 sein Preismodell mit dem Hinweis auf missbräuchliche Verwendung angepasst, zu der neben dem Mining von Kryptowährungen auch das Betreiben von TOR-Knoten gehöre.
Eine Maßnahme von vielen
Die neue Maßnahme betrifft derzeit ausschließlich neue Nutzerinnen und Nutzer, die in der Cloud die Free-Variante und Shared Runners verwenden. Letztere sind eins von drei Modellen zum Ausführen von CI-Jobs. Wer akademische oder Open-Source-Projekte betreibt ist ebenso von der Regelung ausgeschlossen wie diejenigen, die eine kommerzielle Variante einsetzen. Wer GitLab im eigenen Rechenzentrum betreibt, muss ebenfalls keine Zahlungsdaten hinterlegen, da in dem Fall ein potenzieller Missbrauch nicht das SaaS-Angebot (Software as a Service) und damit andere User von GitLab trifft.
Derzeit gilt die Pflicht zur Abgabe der Kreditkarteninformationen zudem nur für Neukunden und -kundinnen. GitLab bucht laut den Angaben im Blog kein Geld von der hinterlegten Karte ab, sondern führt lediglich eine Autorisierungstransaktion über einen Dollar durch.
Weitere Details zu den Anforderungen und Ausnahmen finden sich im GitLab-Blog. In den letzten Wochen hat das GitLab-Team wohl zahlreiche weitere Gegenmaßnahmen gegen Crypto-Miner und ähnlichen Missbrauch des SaaS-Angebots ergriffen. Dazu gehört eine striktere Sperre und das Überprüfen des zeitlichen Kontingents für Pipelines beziehungsweise einzelne Jobs.
(rme)
