Nach einem aufsehenerregenden Angriff auf das npm-Paket-Ökosystem hat GitHub wichtige Sicherheitsänderungen angekündigt. Entwickler stehen nun vor neuen Herausforderungen – aber auch Chancen, die Software-Lieferkette dauerhaft robuster zu gestalten. Dieser Artikel erklärt alle neuen Pflichten und gibt klare Handlungsempfehlungen.
Hintergrund: Der Angriff, der GitHub zum Handeln zwang
Im Frühjahr 2024 kam es zu einem großangelegten Angriff auf das npm-Ökosystem, bei dem Angreifer versuchten, bösartige Pakete mit kompromittierten Zugangsdaten einzuschleusen. Betroffen war insbesondere die Veröffentlichungspipeline von Open-Source-Bibliotheken. Laut GitHub-Sicherheitsbericht vom Mai 2024 wurden dabei mehr als 100 Token zur Veröffentlichung auf npm kompromittiert, was den Vorfall zu einem der schwerwiegendsten Sicherheitszwischenfälle im Bereich der Paketverwaltung macht.
GitHub, seit 2018 Eigentümer von npm, reagierte mit sofortigen Maßnahmen: Kompromittierte Token wurden zurückgezogen, betroffene Accounts gesperrt und ein umfangreiches Audit des Ökosystems durchgeführt. Dennoch wurde schnell klar: Langfristig reichen reaktive Maßnahmen nicht aus. Die Sicherheit musste systematisch gestärkt werden.
2FA wird jetzt Pflicht: Phasenweise Einführung im Fokus
Bereits seit 2022 forcierte GitHub die Zwei-Faktor-Authentifizierung (2FA) für besonders aktive Entwickler. Nun setzt das Unternehmen die Richtlinie deutlich flächendeckender durch. Seit Juli 2025 ist 2FA für alle Accounts erforderlich, die npm-Pakete veröffentlichen oder verwalten – unabhängig von deren Reichweite.
Die Einführung verläuft stufenweise. Im ersten Schritt wurden Maintainer mit mehr als einer Million monatlicher Downloads kontaktiert. Bis Oktober 2025 sollen alle Benutzer, die Schreibrechte in einem beliebigen npm-Paket besitzen, 2FA aktiviert haben. Accounts ohne 2FA verlieren ihre Veröffentlichungsrechte.
Laut GitHub ist die Umstellung effektiv: Schon im August 2025 hatten über 91 % der aktivsten Maintainer weltweit Zwei-Faktor-Authentifizierung aktiviert (Quelle: GitHub Blog, August 2025).
Token-Basierte Authentifizierung: Neue Einschränkungen für mehr Sicherheit
Neben der 2FA führt GitHub auch eine restriktivere Token-Strategie ein. Viele der kompromittierten Accounts im letzten Angriff nutzten noch alte, breitberechtigte Zugriffstoken zur Veröffentlichung. Deshalb gelten nun folgende Neuerungen:
- Token-Scoping: Neue Zugriffstoken müssen explizit auf den Veröffentlichungskanal und den Paketbereich (Namespace) begrenzt werden.
- Ablaufdatum: Alle neuen Tokens benötigen ein Ablaufdatum von maximal 90 Tagen.
- Token-Monitoring: GitHub prüft automatische Downloads und Warnungen für Token-Missbrauch in Echtzeit.
Für bestehende Tokens gilt eine Übergangsfrist bis Dezember 2025. Ab Januar 2026 sind nur noch korrekt konfigurierten Tokens zulässig.
Trusted Publishing: Der neue Goldstandard für npm-Workflows
Mit „Trusted Publishing“ will GitHub den Veröffentlichungsprozess sicherer und automatisierter gestalten. Dabei wird das Paket direkt aus einem CI/CD-Workflow (etwa GitHub Actions oder CircleCI) signiert veröffentlicht – ganz ohne Zugriffstoken. Die Identität des Workflows wird durch OIDC (Open ID Connect) verifiziert, wodurch die Notwendigkeit für gespeicherte Geheimnisse entfällt.
Diese Methode wird seit Ende 2024 von GitHub als bevorzugtes Veröffentlichungsformat beworben. Die Vorteile:
- Keine Token-Leaks durch Fehlkonfigurationen im CI
- Automatisierte, eindeutige Autorisierung mit geringer Fehleranfälligkeit
- Bessere Protokollierung und Nachvollziehbarkeit der Paket-Herkunft
Nutzer berichten bereits von positiven Erfahrungen im praktischen Einsatz. Laut einer Analyse von Snyk erhöht Trusted Publishing die Sicherheit der Software-Supply-Chain um bis zu 60 %, sofern es korrekt implementiert wird (Quelle: Snyk Security Report 2025).
Hinweis: Entwickler, die GitHub Actions nutzen, können Trusted Publishing innerhalb weniger Minuten aktivieren. GitHub stellt hierzu eine umfassende Anleitung zur Verfügung: https://docs.npmjs.com/en/publishing/trusted-publishing/
Statistik: Wo stehen wir aktuell mit npm-Schutzmaßnahmen?
Zwei aktuelle Kennzahlen zeigen die Dringlichkeit der Maßnahmen:
- Laut einer Analyse von Socket.dev (Juli 2025) enthalten über 12 % der insgesamt 2,4 Millionen npm-Pakete potenziell riskante Abhängigkeiten.
- GitHub hat zwischen Januar und August 2025 mehr als 24.000 bösartige Pakete manuell identifiziert und entfernt – ein Anstieg von 130 % gegenüber dem Vorjahr (Quelle: GitHub Security Transparency Report 2025).
Diese Zahlen untermauern die These, dass Software-Lieferketten zunehmend Ziel professioneller Angreifer werden – und dass Plattformbetreiber aktiv gegensteuern müssen.
Empfehlungen für Entwickler: So schützt ihr eure npm-Projekte
Die neuen Regeln von GitHub bergen nicht nur Pflichten, sondern auch die Chance, eigene Projekte auf ein neues Sicherheitsniveau zu heben. Folgende Maßnahmen sind dabei besonders wirksam:
- 2FA sofort aktivieren: Wer Pakete veröffentlicht oder Zugriff auf Organisationen hat, sollte nicht auf die letzte Frist warten. Authenticator-App oder Security-Key werden empfohlen.
- Trusted Publishing evaluieren und umstellen: Bei jeder neuen CI/CD-Integration prüfen, ob der Workflow für Trusted Publishing geeignet ist.
- Abhängigkeiten regelmäßig scannen: Nutzt automatisierte Tools wie npm audit, Snyk oder Socket.dev, um verwundbare Bibliotheken frühzeitig zu identifizieren.
Zudem lohnt sich ein Blick in die offiziellen Hilfsmittel von GitHub, wie die npm Package Provenance-Funktion, die im Dashboard Verdachtsfälle farblich markiert.
Einordnung: GitHubs Vorstoß im Kontext der DevSecOps-Bewegung
Die aktuellen Veränderungen bei npm zeigen einen klaren Trend: Sicherheit wird nicht länger am Ende der Pipeline betrachtet, sondern als integraler Bestandteil des Softwareentwicklungsprozesses verstanden. Dieser Ansatz deckt sich mit den Prinzipien von DevSecOps, also der kontinuierlichen Integration sicherheitsrelevanter Maßnahmen in den gesamten Software-Lifecycle.
Plattformanbieter wie GitHub nehmen dabei eine Schlüsselrolle ein. Mit Tools wie „Dependabot“, „CodeQL“ und jetzt auch „Trusted Publishing“ wird Entwicklern ermöglicht, Security-by-Design praktisch umzusetzen – nicht durch Zwang, sondern mit intelligenten Automatisierungen.
Fazit & Community-Aufruf: Gemeinsam gegen Paketmissbrauch
Die Sicherheit von npm betrifft nicht nur große Organisationen, sondern jeden Entwickler, der auf Open Source setzt – oder dazu beiträgt. GitHubs neue Maßnahmen sind mehr als nur Pflichterfüllung: Sie bieten eine Chance, Sicherheitslücken dauerhaft zu schließen und Vertrauen in das Ökosystem aufzubauen.
Die Community ist aufgerufen, sich aktiv zu beteiligen: Meldet verdächtige Pakete, nutzt die neuen Schutzfunktionen und helft mit, Best Practices zu verbreiten. Denn je mehr Entwickler mitziehen, desto robuster wird unser gemeinsames Fundament für sichere Softwareentwicklung.
