Github geht gegen den missbräuchlichen Gebrauch seiner Systeme für das Schürfen von Kryptowährungen vor. Was bisher immer wieder einmal vorgekommen sei, habe sich durch den Kursanstieg der Kryptowährungen zu einer Eskalation geführt, teilt der Anbieter mit.
Githubs Systeme seien schon auf verschiedenen Wegen missbraucht worden, schreibt Github-Produkt-Manager Chris Patterson. Und man sei von Anfang an dagegen vorgegangen, so der Manager. Jetzt aber sei die Sache eskaliert und man investiere tausende von Stunden für die Abwehr solcher missbräuchlichen Angriffe auf die Github Actions.
Eine der derzeit häufig zu beobachtenden Maschen sei das Ausnutzen von Pull Requests von Forks um Mining-Code auf Upstream Repositories auszuführen. Dies wiederum habe negative Auswirkungen für die Repository-Eigner, deren legitimen Pull-Requests und Accounts dann als Resultat der Mining-Versuche eventuell gesperrt werden.

Button in der Merge-Box, der die Prüfung durch einen Maintainer bestätigt. Quelle: Github
Github will diese Vorgänge nun unterbinden und kündigt zwei Gegenmaßnahmen an. Erstens werde man sich künftig bei der Verfolgung der illegalen Miner zuerst an den Account wenden, der den Fork hostet, von dem die Pull Requests stammen und nicht an den mit dem Upstream Repository verbundenen Account. Damit soll verhindert werden, dass die Accouns von Maintainer fälschlich gesperrt werden Die zweite Maßnahme besteht darin, dass Pull Requests von Erstbeitragenden nun manuell von einem Repository-Mitglied mit Schreibrechten geprüft werden müssen, bevor sie in einem Action-Workflow landen. Dafür gibt es einen neuen Button in der Merge-Box, der die Prüfung durch einen Maintainer bestätigt. Dieses Vorgehen halte man für einigermaßen ausgewogen zwischen manueller Freigabe und automatisierten Aktionen, s Patterson.





