Menü

GitHub erweitert Token Scanning auf fünf weitere Partnerformate

Atlassian, Dropbox, Discord, Proctorio und Pulumi: Die Zugangsdaten zu den Plattformen sollen künftig durch den Token-Scanner von GitHub besser geschützt sein.

Lesezeit: 1 Min.
In Pocket speichern
vorlesen Druckansicht Kommentare lesen
Von

Die Softwareplattform GitHub hat fünf neue Partner für ihr Token-Scanning-Angebot vorgestellt: Atlassian, Dropbox, Discord, Proctorio und Pulumi. Damit sollen vertrauliche Informationen der Unternehmen in GitHub-Repositorys besser geschützt sein. Erkennt der Token-Scanner von GitHub ein Token-Format in einem Repository – sei es bei einem neuen Commit oder dem Veröffentlichen eines privaten Repos – schlägt er beim jeweiligen Serviceanbieter automatisch Alarm.

GitHub hatte im Rahmen der Konferenz GitHub Universe 2018 den Token-Scanner erstmalig vorgestellt. Seitdem hat das Unternehmen wohl rund eine Milliarde Tokens für seine Kunden identifiziert. Laut eigenen Angaben sollen an einem durchschnittlichen Tag fast neun Millionen Commits bei GitHub aufschlagen. Der Token-Scanner soll binnen weniger Sekunden nach einem Commit nach den bekannten Token-Formaten suchen.

Die neuen Partner reihen sich neben einer handvoll anderer Firmen ein, darunter auch die großen Cloud-Anbieter, Alibaba Cloud, Amazon Web Services, Microsoft Azure und Google Cloud. Ebenfalls dazu zählen Mailgun, npm, Slack, Stripe und Twilio. Der jeweilige Dienstanbieter überprüft bei einer Warnung des Token-Scanners die Berechtigung und entscheidet dann, ob er den Token widerrufen, einen neuen Token ausstellen oder sich direkt an Sie wenden soll, was von den damit verbundenen Risiken für Sie oder den Dienstanbieter abhängt.

Damit GitHub auf die Suche nach den Tokens gehen kann, benötigt die Plattform drei Informationen. Zum einen einen eindeutigen, von Menschen lesbaren Namen für den Token-Typ. Dieser dient dazu, den Type-Wert in der Message Payload zu generieren. Zum anderen benötigt GitHub einen regulären Ausdruck, der den Token-Typ findet. Unternehmen sind angeraten, dabei so präzise wie möglich zu sein, um falsch-positive Ergebnisse auszuschließen. Zu guter Letzt benötigt der Scanner die URL des Endpunkts, an den GitHub die Nachrichten senden soll. Er muss allerdings nicht für jeden Token-Typ eindeutig sein.

Einen genaueren Überblick zur Vorgehensweise beim Token Scanning bietet eine Dokumentation von GitHub. (bbo)