GitHub Token Scanning – Eine Milliarde erkannte Tokens und fünf neue Partner

Image of Justin Hutchings

GitHub Token Scanning hat einen neuen Meilenstein erreicht: Eine Milliarde erkannte Tokens. Außerdem konnten wir fünf neue Partner gewinnen: Atlassian, Dropbox, Discord, Proctorio und Pulumi.

Falls Du jemals versehentlich Tokens oder Zugangsdaten in einem GitHub-Repository geteilt oder darüber gelesen hast, weißt Du welche Gefahr davon ausgeht, wenn ein böswilliger Nutzer diese Informationen findet und verwendet. Vor etwa einem Jahr haben wir Token-Scanning eingeführt, um alle gepushten Commits zu überprüfen und die missbräuchliche Verwendung von Zugangsdaten zu verhindern.

Seit der Einführung von Token-Scanning haben wir unseren Integrationspartnern eine Milliarde Tokens zur Validierung gesendet.

Fünf neue Token-Scanning-Partner

Es ist uns wichtig, unsere Kunden vor Sicherheitsbedrohungen zu schützen. Wir freuen uns bekannt zu geben, dass wir mit Atlassian, Dropbox, Discord, Proctorio und Pulumi zusammengearbeitet haben, um nach ihren Token-Formaten zu scannen. Damit schließen sie sich anderen Service Providern wie Alibaba Cloud, AWS, Azure, Google Cloud, Mailgun, npm, Slack, Stripe und Twilio an um Entwickler zu schützen. Wenn Du versehentlich ein Token für Produkte wie JIRA oder Discord eincheckst, wird der Anbieter innerhalb von Sekunden nach dem Push über eine mögliche Übereinstimmung informiert, sodass das Token widerrufen werden kann, bevor es missbräuchlich verwendet wird.

Wie funktioniert Token-Scanning?

Durchschnittlich werden pro Tag fast neun Millionen Commits auf GitHub.com gepusht. Innerhalb von Sekunden, nachdem diese Commits übertragen (oder private  Repositories veröffentlicht) wurden, durchsuchen wir den Inhalt nach bekannten Token-Formaten. Wenn wir eine Übereinstimmung feststellen, benachrichtigen wir den zugehörigen Service Provider und dieser reagiert entsprechend. Dabei werden die Token widerrufen und die betroffenen Benutzer benachrichtigt.

Hier ein Beispiel, wie ein Benutzer über ein Discord-Token benachrichtigt wurde, welches versehentlich in einem öffentlichen Repository veröffentlicht wurde:

A notification email about a user's Discord token

Service Provider- Bitte unterstützt uns dabei, Sicherheitsverstöße zu verhindern

Verwendest Du als als Cloud- oder API-Service Provider Tokens zur Authentifizierung und Autorisierung und möchtest deine Anwender vor seltenen, aber möglicherweise verheerenden Token-Leakage-Szenarien schützen? Wir arbeiten gerne mit Dir zusammen.

Der Prozess ist ganz einfach – definiere reguläre Ausdrücke, die Deinen Token-Formaten entsprechen, und richte einen API-Endpunkt ein.

Erfahre mehr darüber, wie du ein GitHub Token-Scanning-Partner werden kannst