Aus Linux-Magazin 12/2025

Neues Sicherheitsmodell bei Github

© Chatchai Issariya / 123RF.com

Github hat angesichts der zunehmenden Angriffe auf Open-Source-Ökosysteme einen umfassenden Plan vorgestellt, um die Sicherheit der npm-Supply-Chain zu erhöhen.

In den vergangenen Monaten zeigte sich, dass der Node Package Manager (npm) anfällig für Angriffe durch kompromittierte Maintainer-Konten ist. Ein besonders aufsehenerregender Fall war der Shai-Hulud-Wurm, der über gestohlene Zugangsdaten in npm eingeschleust wurde, Installationsskripte manipulieren und sich selbst replizieren konnte. Innerhalb kürzester Zeit wurden so Hunderte Pakete kompromittiert.

Github reagierte sofort, entfernte über 500 bösartige Pakete aus der Registry und blockierte weitere Uploads, die verdächtige Muster aufwiesen. Allerdings hat sich das Unternehmen nicht nur auf derartige Ad-hoc-Maßnahmen beschränkt, sondern auch eine Roadmap [1] entwickelt, die grundlegende Änderungen an npms Publishing-Prozess vorsieht.

Im Mittelpunkt steht die Einführung einer verpflichtenden Zwei-Faktor-Authentifizierung für alle, die Pakete lokal mit dem npm-CLI veröffentlichen. Bisher genügte es oft, ein einmal ausgestelltes Token zu besitzen, um beliebige Versionen hochladen zu können. Diese Tokens fungieren als dauerhafte Schlüssel und sind in der Regel in Konfigurationsdateien oder CI-Systemen gespeichert, was sie zu einem bevorzugten Ziel für Angreifer macht.

Künftig sollen Tokens allein nicht mehr ausreichen. Wer veröffentlichen will, muss zusätzlich einen zweiten Faktor einsetzen, zum Beispiel einen physischen Sicherheitsschlüssel oder eine moderne WebAuthn-Lösung, die kryptografische Schlüsselpaare direkt in ihrer Hardware erzeugt. Damit wird der bislang übliche Ansatz, zeitbasierte Einmalpasswörter (Time-Based One-Time Password, TOTP) über Authenticator-Apps zu nutzen, in den Hintergrund tre...

[...]
Linux-Magazin Online veröffentlicht alle Print-Artikel, die seit 2001 im Linux-Magazin erschienen sind. Damit steht Ihnen ein hochwertig bestücktes Archiv bis hin zu den Beiträgen der aktuellen Ausgabe online zur Verfügung. Die über 4.000 Artikel sind größtenteils kostenlos zugänglich, nur für Beiträge (als PDF) der jüngsten zehn Linux-Magazine ist eine kleine Gebühr fällig.

DIESEN ARTIKEL ALS PDF KAUFEN
EXPRESS-KAUF ALS PDFUmfang: 1 HeftseitePreis €0,99
(inkl. 19% MwSt.)
LINUX-MAGAZIN KAUFEN
EINZELNE AUSGABE Print-Ausgaben Digitale Ausgaben
ABONNEMENTS Print-Abos Digitales Abo
TABLET & SMARTPHONE APPS Readly Logo
E-Mail Benachrichtigung
Benachrichtige mich zu:
0 Kommentare
Älteste
Neuste Beste Bewertung
Nach oben