Nach npm-Großangriff: Github verschärft Sicherheitsmaßnahmen

GitHub hat einen umfassenden Plan zur Verbesserung der npm-Sicherheit (Node Package Manager) vorgestellt. Die Maßnahmen sind eine direkte Reaktion auf den npm-Großangriff von Mitte September, bei dem eine selbst-replizierende Malware über kompromittierte Maintainer-Accounts Dutzende JavaScript-Pakete infizierte.

Wie GitHub in einem Blogbeitrag mitteilte, werden künftig nur noch drei Authentifizierungsmethoden für das Veröffentlichen von Paketen unterstützt: lokales Publishing mit verpflichtender Zwei-Faktor-Authentifizierung, zeitlich begrenzte Granular-Token mit maximal sieben Tagen Gültigkeit sowie Trusted Publishing.

Drastische Änderungen bei Token und 2FA

Die geplanten Sicherheitsverbesserungen gehen weit über bisherige Maßnahmen hinaus. GitHub will klassische Legacy-Token vollständig abschaffen und zeitbasierte Einmalpasswörter (TOTP) für die Zwei-Faktor-Authentifizierung durch FIDO-basierte Verfahren ersetzen. Granular-Token mit Publishing-Berechtigung erhalten eine deutlich verkürzte Gültigkeitsdauer.

Besonders einschneidend: Publishing-Zugriff wird standardmäßig Token-basierte Authentifizierung verbieten. Entwickler sollen stattdessen auf Trusted Publishing oder lokales Publishing mit 2FA-Pflicht umsteigen. Die Option, die Zwei-Faktor-Authentifizierung beim lokalen Paket-Publishing zu umgehen, entfällt komplett.

Trusted Publishing als Schlüsseltechnologie

GitHub setzt verstärkt auf Trusted Publishing, eine von einer Arbeitsgruppe der Open Source Security Foundation empfohlene Sicherheitstechnologie. Das Verfahren eliminiert die Notwendigkeit, API-Token in Build-Systemen zu verwalten, und wurde bereits von PyPI, RubyGems, crates.io und NuGet implementiert.

Ursprünglich wollte GitHub das organische Wachstum von Trusted Publishing abwarten. Die jüngsten Angriffe haben jedoch gezeigt, dass schnelleres Handeln erforderlich ist. Das Unternehmen plant daher, die Anzahl der unterstützten Provider für Trusted Publishing zu erweitern.

Sofortige Gegenmaßnahmen nach Shai-Hulud

Als Reaktion auf den Shai-Hulud-Wurm hatte GitHub bereits über 500 kompromittierte Pakete aus der npm-Registry entfernt und das Hochladen neuer Pakete mit entsprechenden Indikatoren blockiert. Der Wurm hatte sich durch das Einschleusen bösartiger Post-Install-Skripte in beliebte JavaScript-Pakete verbreitet und dabei verschiedene Arten von Geheimnissen gestohlen.

GitHub kündigte an, die Sicherheitsänderungen schrittweise einzuführen, um Störungen zu minimieren. Das Unternehmen will Entwickler mit klaren Zeitplänen, Dokumentation, Migrationsleitfäden und Support-Kanälen durch den Übergang begleiten. Maintainer können bereits jetzt auf Trusted Publishing umsteigen und ihre Publishing-Einstellungen für Accounts, Organisationen und Pakete verschärfen.

(mack)