Wegen Breach: PHP zügelt zu GitHub

30. März 2021, 11:48
image

Weiterhin einen eigenen Git-Server zu betreiben wäre keine gute Idee, sagen die Verantwortlichen.

Gestern wurde bekannt, dass ein unbekannter Hacker das offizielle PHP-Git-Repository kompromittieren und unter dem Deckmantel einer kleinen Änderung manipulierten Code publizieren konnte.
Nun ziehen die PHP-Verantwortlichen Konsequenzen. Wie der PHP-Maintainer Nikita Popov bekannt gab, deuten die bisherigen Erkenntnisse zum PHP-Hack weiterhin darauf hin, dass der git.php.net-Server selbst gehackt worden sei, und nicht individuelle Accounts. Man habe deshalb entschieden, dass der Betrieb einer eigenen Git-Infrastruktur ein unnötiges Sicherheitsrisiko darstellt. Die Repositories auf GitHub, die bisher nur als Backup dienten, würden deshalb nun die "kanonischen", also die massgeblichen Repositories werden. Alle Änderungen sollen nun direkt in diese Repositories hochgeladen werden.
Dies bringt auch Änderungen für Entwickler und Organisationen mit sich, die bei der PHP-Entwicklung mitmachen. Um die Berechtigung dafür zu haben, müssen sie nun Mitglieder der PHP-Organisation auf GitHub sein oder werden und zwei-Faktor-Authentisierung aktivieren.
Das signieren von Code ist noch keine obligatorische Voraussetzung für PHP-Contributors, wird aber von vielen in der Community, darunter auch vom "PHP-Vater" Rasmus Lerdorf, stark befürwortet. Für php-src-commits könnte man Signaturen bereits obligatorisch machen, so Lerdorf. Für andere Beiträge könnten Signaturen noch optional bleiben, zumindest bis die Community sich mehr an sie gewöhnt hat.

Loading

Mehr zum Thema

image

So arbeiten Googles interne Hacker

Hoodies, Plasmalampen, digitale Brandstiftung. Daniel Fabian, Leiter von Googles Team Red, zeigt Praktiken seiner Hacker-Gruppe.

publiziert am 2.2.2023
image

Cyberangriff auf Adesso Deutschland

Kriminelle haben Systeme kompromittiert und Daten kopiert. Kundendaten sind laut dem IT-Dienstleister nicht abgeflossen.

publiziert am 2.2.2023
image

Darkweb-Salärstudie: Das sind die Löhne der Cyberkriminellen

Für gefragte Malware-Entwickler gibt es Top-Löhne. Das Durchschnittsgehalt ist aber vergleichsweise bescheiden.

publiziert am 1.2.2023
image

Zurich investiert erneut in kanadische Cyberversicherung

Boxx Insurance hat unter der Leitung von Zurich in einer Serie-B-Finanzierung 14,4 Millionen US-Dollar gesammelt.

publiziert am 31.1.2023