GitHub: Mehr Sicherheit durch 2FA und die Suche nach Passwörtern und Co

Inhaltsverzeichnis

Bereits seit einiger Zeit bereiten die Macher hinter der GitHub-Plattform ihre Nutzer und Nutzerinnen darauf vor, dass sie in naher Zukunft, ihre Accounts grundsätzlich mit aktiver Zwei-Faktor-Authentifizierung sichern müssen. Als eine weitere Sicherheitsmaßnahme kommt ganz aktuell die Möglichkeit hinzu, öffentliche Repositories auf Informationen darin wie beispielsweise Passwörter zu durchsuchen, die eigentlich geheim bleiben sollten. Dazu gibt es nun Warnungen zum Scannen, die es Entwicklerinnen und Entwicklern erlauben sollen, solche durchgesickerten Geheimnisse direkt in GitHub zu verfolgen und direkt darauf reagieren.

Das große Ziel heißt mehr Sicherheit

Bereits im Mai hatte GitHub dazu aufgerufen, sich von einem Authentifizieren für die Git Operations mit einem einfachen Passwort zu verabschieden. Damit einher ging die Ankündigung, dass bis zum Ende des Jahres 2023 alle Nutzerinnen und Nutzer, die ihren Code auf GitHub.com ablegen, dazu verpflichtet werden sollen, eine oder mehrere Formen der Zwei-Faktor-Authentifizierung für ihr Konto einzusetzen. Aktuell verlangt die Plattform bereits jetzt schon von allen Betreuern von Paketen mit mehr als 1 Million wöchentlichen Downloads oder mehr als 500 Abhängigkeiten (sogenannte high-impact packages), dass sie 2FA aktivieren.

Nun hat das Entwicklerteam von GitHub in einem Blog-Eintrag unter der Bezeichnung Secret Scanning eine neuerdings für öffentliche Repositories frei verfügbare Funktion vorgestellt, die ebenfalls dabei helfen soll, die Sicherheit der Repositories zu erhöhen. Damit kann man Code daraufhin zu untersuchen, ob sich in ihm beispielsweise Passwörter oder andere Informationen befinden, die eigentlich nicht öffentlich bekannt sein sollten.

Keine Geheimnisse mehr im Code

GitHub hebt hervor, dass ein Offenlegen von Anmeldedaten und anderen eigentlich geheimen Informationen die häufigste Ursache für Datenschutzverletzungen sei und zudem oft unentdeckt bleibe. Mit einer durchschnittlichen Zeitspanne von 327 Tagen bis zur Identifizierung hätten die Daten der Plattform auch gezeigt, dass es Unternehmen schwerfällt, solche Datenlecks in großem Umfang zu erkennen und entsprechende Maßnahmen zu ergreifen, um das Aufdecken dieser Informationen zu beheben.

Aus diesen Gründen arbeite GitHub bereits seit geraumer Zeit mit Dienstanbietern zusammen, um durchgesickerte Anmeldeinformationen in allen öffentlichen Repositories über Partnerprogramm zum Scannen von Geheimnissen zu erkennen. Dabei werden die Repositories auf über 200 Token-Formate untersucht. Im Jahr 2022 hat GitHub nach eigenen Angaben auf diese Weise Partner über 1,7 Millionen potenzielle Geheimnisse in öffentlichen Repositories informiert, um den Missbrauch dieser Token zu verhindern.

Wie es funktionieren soll

Die Macher hinter GitHub gaben bekannt, dass sie aktuell mit der schrittweisen Einführung des Secret-Scanning für öffentliche Repositories beginnen und davon ausgehen, dass alle User bis Ende Januar 2023 über diese Funktion verfügen werden. Wer einen früheren Zugang wünscht, Fragen dazu hat oder Feedback geben möchte, kann eine Anfrage in der Sicherheitsdiskussion der Plattform stellen.

Sobald die Warnungen des Scanners im Repository verfügbar sind, können Entwickler sie in den Einstellungen unter "Code-Sicherheit und Analyse" aktivieren. Anschließend sehen sie alle entdeckten Credentials, indem sie zur Registerkarte "Sicherheit" ihres Repositorys navigieren und "Geheimes Scannen" in der Seitenleiste unter "Schwachstellenwarnungen" auswählen. Dort finden sie dann auch eine Liste aller entdeckten Geheimnisse und können auf jede Warnung klicken, um das kompromittierte Geheimnis, seinen Standort und die vorgeschlagene Maßnahme zur Behebung anzuzeigen.

• Github bei heise Download

(fms)