GitHub: Mehr Sicherheit durch 2FA und die Suche nachher Passwörtern und Cobalt

Schon seither einiger Zeit veredeln die Macher hinter jener GitHub-Plattform ihre Nutzer und Nutzerinnen darauf vor, dass sie in naher Zukunft, ihre Accounts im Prinzip mit aktiver Zwei-Kennzeichen-Authentifizierung sichern zu tun sein. Denn eine weitere Sicherheitsmaßnahme kommt ganz neoterisch die Möglichkeit hinzu, öffentliche Repositories hinaus Informationen darin wie bspw. Passwörter zu durchsuchen, die sozusagen getarnt bleiben sollten. Dazu gibt es nun Warnungen zum Scannen, die es Entwicklerinnen und Entwicklern erlauben sollen, solche durchgesickerten Geheimnisse frei heraus in GitHub zu verfolgen und frei heraus darauf reagieren.

Dasjenige große Ziel heißt mehr Sicherheit

Schon im Mai hatte GitHub dazu aufgerufen, sich von einem Authentifizieren zu Händen die Git Operations mit einem einfachen Passwort zu verabschieden. Damit einher ging die Bekanntmachung, dass solange bis zum Finale des Jahres 2023 allesamt Nutzerinnen und Nutzer, die ihren Programmcode hinaus GitHub.com in See stechen, dazu verpflichtet werden sollen, eine oder mehrere Gießen jener Zwei-Kennzeichen-Authentifizierung zu Händen ihr Konto einzusetzen. Im Trend verlangt die Plattform schon jetzt schon von allen Betreuern von Paketen mit mehr qua 1 Million wöchentlichen Downloads oder mehr qua 500 Abhängigkeiten (sogenannte high-impact packages), dass sie 2FA stimulieren.

Nun hat dies Entwicklerteam von GitHub in einem Internet-Tagebuch-Item unter jener Bezeichnung Secret Scanning eine neuerdings zu Händen öffentliche Repositories uneingeschränkt verfügbare Routine vorgestellt, die ebenfalls unterdies helfen soll, die Sicherheit jener Repositories zu potenzieren. Damit kann man Programmcode daraufhin zu untersuchen, ob sich in ihm bspw. Passwörter oder andere Informationen Ergehen, die sozusagen persönlich traut sein sollten.

Keine Geheimnisse mehr im Programmcode

GitHub hebt hervor, dass ein Offenlegen von Anmeldedaten und anderen sozusagen geheimen Informationen die häufigste Ursache zu Händen Datenschutzverletzungen sei und zudem oft unentdeckt bleibe. Mit einer durchschnittlichen Zeitspanne von 327 Tagen solange bis zur Identifizierung hätten die Fakten jener Plattform ebenso gezeigt, dass es Unternehmen schwerfällt, solche Datenlecks in großem Umfang zu wiedererkennen und entsprechende Maßnahmen zu ergreifen, um dies Auspacken dieser Informationen zu beheben.

Schluss diesen Gründen arbeite GitHub schon seither geraumer Zeit mit Dienstanbietern zusammen, um durchgesickerte Anmeldeinformationen in allen öffentlichen Repositories oberhalb Partnerprogramm zum Scannen von Geheimnissen zu wiedererkennen. Nun werden die Repositories hinaus oberhalb 200 Token-Formate untersucht. Im Jahr 2022 hat GitHub nachher eigenen Unterlagen hinaus welche Weise Partner oberhalb 1,7 Mio. potenzielle Geheimnisse in öffentlichen Repositories informiert, um den sexueller Missbrauch dieser Token zu verhindern.

Wie es funzen soll

Die Macher hinter GitHub gaben traut, dass sie neoterisch mit jener schrittweisen Eröffnung des Secret-Scanning zu Händen öffentliche Repositories beginnen und davon Essen gehen, dass allesamt User solange bis Finale Januar 2023 oberhalb welche Routine verfügen werden. Wer verknüpfen früheren Zugang wünscht, Fragen dazu hat oder Feedback spendieren möchte, kann eine Antrag in jener Sicherheitsdiskussion jener Plattform stellen.

Sowie die Warnungen des Scanners im Repository verfügbar sind, können Entwickler sie in den Einstellungen unter “Programmcode-Sicherheit und Untersuchung” stimulieren. Anschließend sehen sie allesamt entdeckten Credentials, während sie zur Registerkarte “Sicherheit” ihres Repositorys steuern und “Geheimes Scannen” in jener Seitenleiste unter “Schwachstellenwarnungen” auswählen. Dort finden sie dann ebenso eine verkettete Liste aller entdeckten Geheimnisse und können hinaus jede Warnung klicken, um dies kompromittierte Mysterium, seinen Standort und die vorgeschlagene Maßregel zur Beseitigung anzuzeigen.

(fms)