Github ergreift Massnahmen für mehr npm-Security

24. September 2025 um 10:33
  • security
  • developer
  • java
  • github
image
Foto: Daniel Bernard / Unsplash

Die Supply-Chain-Angriffe der letzten Wochen haben die Verantwortlichen bei Github aufgeschreckt.

Im Laufe dieses Monats gab es gleich zwei aufsehenerregende Supply-Chain-Angriffe auf Javascript-Software-Pakete, die auf npmjs.com, einer sehr grossen Javascript-Registry auf Github, gehostet werden. Zuerst wurden Pakete für node.js mit Malware kompromittiert, kurz darauf viele weitere Pakte einer ganzen Reihe von Maintainern.
Wie Github bekannt gibt, wurden als unmittelbare Reaktion mehr als 500 kompromittierte Pakete entfernt und der Upload von Paketen, die Anzeichen für Malware aufweisen, blockiert.
Zusätzlich kündigt die Repository, die sich im Besitz von Microsoft befindet, schärfere Kontrollmassnahmen an, die nun schnell umgesetzt werden sollen. Die Massnahmen versprechen mehr Sicherheit, werden aber auch die Arbeitsabläufe von Paket-Maintainern durcheinander bringen.
In einem Blogbeitrag erklärt der Github-Mitarbeiter Xavier-René Corail die Änderungen. Demnach wird für lokales Publishing Zwei-Faktor-Authentifizierung zwingend, und zudem wird die Laufzeit von Tokens auf sieben Tage beschränkt.
Für automatisierte Workflows wird Trusted Publishing obligatorisch. Trusted Publishing, so Corail werde von der OpenSSF Securing Software Repositories Working Group empfohlen und vermeide die Notwendigkeit, ein API-Token auf sichere Weise im Build-System zu verwalten.
Der Zeitplan für die Änderungen ist aber noch nicht ganz klar. Eigentlich, so Corail, habe man Entwicklern Zeit geben wollen, von selbst auf Trusted Publishing als Sicherheitsmechanismus umzusteigen. Die Angreifer würden allerdings nicht warten, bis es so weit sei. Gleichzeitig sei man sich darüber klar, dass die neuen Sicherheitsmassnahmen Workflows durcheinanderbringen, darum werde man sie "graduell" einführen und obligatorisch machen.

