GitHub Actions: GitHub kündigt härteres Vorgehen gegen Cryptominer an

GitHub Actions: GitHub kündigt härteres Vorgehen gegen Cryptominer an

Kryptowährungen erleben aktuell auch in Zeiten der Pandemie einen ziemlichen Höhenflug und auch die Unterstützung durch Unternehmen wie Facebook, Brave, Opera, dem Signal Messenger, LBRY Inc. mit seiner Videoplattform Odysee, Tesla, PayPal, Visa oder Mastercard verschafft entsprechenden Vertretern wie Bitcoin, Ethereum oder Monero einen ziemlichen Rückenwind. Gleichzeitig sind auch die dunkleren Akteure weiterhin auf dem Vormarsch und nachdem über Jahre vor allem Ransomware damit in Verbindung gebracht wurde, werden nun auch Entwicklerplattformen zunehmend in den Sumpf hinein gezogen.

Bereits am vergangenen Donnerstag kündigte GitHub nun ein härteres Vorgehen gegen Cryptominer an und möchte Entwicklern, die ihre Projekte auf GitHub realisieren, bessere Werkzeuge an die Hand geben. Hintergrund ist ein schon länger andauernder Missbrauch von GitHub Actions, der CI/CD-Plattform (Continuous Integration/Continuous Delivery) von Microsofts Tochter. Angreifer hatten verschiedene Angriffsvektoren benutzt, um etwa über akzeptierte Pull Requests anschließend Cryptomining in Upstream Repositories durchzuführen. Die Vorfälle haben eine größere Zahl von Projekten betroffen und waren auf der gesamten Plattform durch Einbrüche in der Performance und Störungen für die einzelnen Entwickler spürbar.

Microsoft und GitHub unternehmen nun weitere Schritte, um solche Vorfälle weiter zu unterbinden. So müssen Pull Requests von Entwicklern, die das erste Mal zu einem Projekte beitragen, nun grundsätzlich manuell von einem Entwickler des jeweiligen Projekts freigegeben und bestätigt werden. Außerdem will GitHub die Accounts von Maintainern besser schützen und seine Regeln wesentlich stärker gegen die potenziell bösartigen Accounts durchsetzen. Weitere Schritte können in der Zukunft erfolgen, zumindest will GitHub an weiteren Möglichkeiten arbeiten.

Artikel im Forum diskutieren (0)

Quelle: GitHub

Über den Autor
Kevin Kozuszek
  • Kevin Kozuszek auf Twitter
Seit 1999 bin ich Microsoft eng verbunden, daneben schlägt mein Herz aber auch für die OpenSource-Welt, wo mein besonderes Interesse der Mozilla Foundation gilt. Wenn ich mich mal nicht mit Technik beschäftige, tauche ich gerne in die japanische Kultur mit all ihren Facetten ab oder widme mich einem meiner zahlreichen anderen Hobbies.
Nach oben