GitHub blockiert laut eigenen Angaben jede Minute mehrere Secrets wie Passwörter oder API-Schlüssel, die mit einem Push-Schutz gesichert sind. Dennoch bleiben Geheimnislecks weiterhin eine der häufigsten Ursachen für Sicherheitsvorfälle auf GitHub. Um dieser Entwicklung entgegenzuwirken, erweitert GitHub nun Sicherheitsfunktionen für Entwicklerinnen und Entwickler.
Wie zuvor schon angekündigt regelt GitHub ab April die Struktur und die Verfügbarkeit der Sicherheits-Suite GitHub Advanced Security (GHAS) neu. Des Weiteren bietet GitHub ein neues Scan-Tool an, um Entwicklerinnen und Entwickler dabei zu unterstützen, das Abfließen von Secrets zu verhindern.
Seit dem 1. April sind die Funktionen von GHAS auf die Einzelpakete GitHub Secret Protection (monatlich 19 US-Dollar) und GitHub Code Security (monatlich 30 US-Dollar) aufgeteilt und lassen sich unabhängig voneinander buchen. Zusammen sind beide damit genauso teuer wie das GHAS-Komplettpaket mit monatlich 49 US-Dollar.
Gleichzeitig hat GitHub die Zugänglichkeit der GHAS-Sicherheitsfunktionen verbessert. Während GHAS bislang nur bei GitHub Enterprise oder den Microsoft Azure DevOps-Tarifen zur Auswahl stand, bietet GitHub die beiden neuen Einzelpakete auch für GitHub Team an.
Ebenfalls seit Anfang April steht Entwicklerinnen und Entwicklern ein neues Scan-Tool für Enterprise Server ab GHES 3.18 zur Verfügung. Organisationen mit einem GitHub Team- oder Enterprise-Tarif können es ohne Aufpreis nutzen.
Das Scan-Tool findet sich im Sicherheits-Tab des GitHub-Dashboards und führt einen Sicherheitscheck für alle öffentlichen, privaten, internen sowie archivierten Repositorys durch. Anschließend listet es unter anderem folgende Ergebnisse auf: die Anzahl der Datenlecks pro Secret-Typ, die Anzahl der öffentlich sichtbaren Geheimnisse in den öffentlichen Repositorys der Organisation sowie die Anzahl der betroffenen Repositorys für jeden Geheimnistyp. Die Ergebnisse lassen sich als CSV-Datei herunterladen.
(Bild: GitHub)
Um eine Offenlegung von Secrets zu verhindern, hat GitHub bereits vor einigen Jahren ein Partnerprogramm für die Geheimnisüberprüfung gestartet. Dem haben sich mittlerweile Hunderte von Anbietern angeschlossen, darunter AWS, Google, Meta und OpenAI.
Als weiteren Sicherheitsbaustein hat GitHub letztes Jahr den Push-Schutz für öffentliche Repositorys eingeführt. Er soll verhindern, dass sensible Informationen wie Passwörter oder API-Schlüssel versehentlich dorthin übertragen werden.
Hinter dem Verlust von Secrets steckt nicht unbedingt böse Absicht. Der aktuelle Data Breach Investigations Report von Verizon zeigt, dass es häufig Leichtsinnsfehler wie das versehentliche öffentliche Bereitstellen eines Repositorys sind, die dann zu Datenlecks führen. Im Jahr 2024 wurden solche Fehler häufiger begangen als bisher. Diese Fehltritte können sich schnell summieren: Im Octoverse-Report gibt GitHub an, dass im Jahr 2024 trotz aller Sicherheitsmaßnahmen mehr als 39 Millionen Secrets von der Plattform abgeflossen sind.
(