Dein Blog zum Thema digitales Business

Die häufigste Frage vor einem GitSecOps QuickCheck lautet: Was kommt dabei eigentlich raus? Niemand will Geld für einen Bericht ausgeben, der nur bestätigt, was man ohnehin ahnt. Deshalb hier ein nüchterner Blick auf Befunde, die in echten Pipelines immer wieder auftauchen. Alles anonymisiert, keine Firmennamen, keine Repos. Aber die Muster sind real und wiederholen sich quer durch Branchen und Teamgrößen.

Geheimnisse in der Git-Historie

Der mit Abstand häufigste Befund. Ein Team hatte vor zwei Jahren versehentlich einen Cloud-Zugangsschlüssel committet, ihn am selben Tag aus der aktuellen Datei entfernt und das Thema abgehakt. Der Schlüssel lag weiter in der Historie, abrufbar für jeden mit Lesezugriff. In einem anderen Fall standen Datenbank-Passwörter in einer alten CI-Konfiguration, die längst durch eine neue ersetzt war. Entfernen aus der aktuellen Version reicht nicht. Ein Secret, das einmal im Repo war, gilt als kompromittiert, bis es rotiert wurde.

CI-Tokens mit zu vielen Rechten

Standardmäßig bekommt der Build-Prozess in vielen Setups Schreibrechte auf das gesamte Repository, auch wenn er nur Tests ausführt. Das ist bequem und fällt nie auf, bis ein kompromittiertes Skript oder eine manipulierte Abhängigkeit diese Rechte nutzt. Wir sehen regelmäßig Workflows, die mit Vollzugriff laufen, obwohl Lesezugriff genügen würde. Die Korrektur ist klein, der Effekt groß: Was der Build nicht darf, kann ein Angreifer über den Build auch nicht.

Ungepinnte Abhängigkeiten und Actions

Viele Pipelines binden externe Build-Schritte über bewegliche Versionsmarken ein, etwa eine Action auf @v3 statt auf einen festen Commit-Hash. Wer hinter der Marke steht, kann den Inhalt jederzeit austauschen, ohne dass die Versionsangabe sich ändert. Bei einem geprüften Projekt liefen sieben externe Actions auf beweglichen Marken, drei davon aus kaum gepflegten Quellen. Das ist kein akuter Schaden, aber eine offene Tür, die niemand bewusst aufgelassen hat.

Kein nachvollziehbarer Weg vom Commit zum Deployment

Auf die Frage, welcher Code-Stand gerade in Produktion läuft, kam mehrfach keine schnelle Antwort. Builds wurden teils lokal erzeugt und manuell hochgeladen, ohne Spur, wer was wann freigegeben hat. Solange nichts schiefgeht, merkt das niemand. Im Störfall oder bei einer Prüfung fehlt dann die Grundlage, um überhaupt zu rekonstruieren, was passiert ist. Ein durchgängiger Trail vom Commit bis zum Artefakt ist hier weniger eine Sicherheits- als eine Betriebsfrage.

Was die Befunde gemeinsam haben

Keiner dieser Punkte entsteht aus Nachlässigkeit. Sie entstehen, weil Pipelines über Jahre wachsen, Leute wechseln und niemand den Gesamtstand systematisch prüft. Genau das macht der QuickCheck: einmal von außen draufschauen, die offenen Türen benennen und nach Aufwand und Wirkung sortieren. Kein Tool-Verkauf, kein Audit mit hundert Seiten. Eine Bestandsaufnahme, mit der ein Team in den nächsten Wochen tatsächlich etwas anfangen kann.

GitSecOps QuickCheck: Wir prüfen deine Pipeline und Repositories in drei Werktagen und liefern eine priorisierte Liste konkreter Befunde. Festpreis 1.990 € netto. Kontakt: mm@crank.zone.