In der heutigen Softwareentwicklung sind automatisierte Workflows und Continuous-Integration/Continuous-Delivery (CI/CD)-Pipelines unverzichtbar geworden. Besonders GitHub Actions bieten Entwicklern eine einfache Möglichkeit, ihre Prozesse zu automatisieren, von Tests bis hin zu Deployments. Allerdings bringt gerade diese Bequemlichkeit Risiken mit sich, die oft unterschätzt werden. Die zunehmende Beliebtheit von GitHub Actions hat auch eine neue Angriffsfläche geschaffen, nämlich die Supply-Chain-Sicherheit. Cyberkriminelle nutzen Schwachstellen in den verwendeten Drittanbieter-Action-Komponenten, um bösartigen Code einzuschleusen und dadurch ganze Projekte zu gefährden.
Genau an dieser Stelle setzt Scharf an – ein schnelles, auf statischer Code-Analyse basierendes Tool (SAST), das gezielt die Sicherheit von GitHub Actions Workflows verbessert und Supply-Chain-Risiken effektiv minimiert. Scharf wurde entwickelt, um mutable Action-Referenzen in GitHub Workflows zu erkennen und sie durch unveränderliche Commit-SHAs zu ersetzen. Mutable Referenzen wie Tags oder Branch-Namen (etwa @v1 oder @main) erlauben es Action-Autoren, Code zu aktualisieren, ohne dass Nutzer ihre Workflows anpassen müssen. Das Problem dabei: Diese dynamische Natur birgt ein erhebliches Risiko. Wenn eine Action kompromittiert wird oder ungewollte Änderungen enthält, können diese unfreiwillig in den CI/CD-Prozess eingespeist werden.
Indem Scharf jede Action mit einem festen Commit-SHA versieht, wird sichergestellt, dass genau der überprüfte Code ausgeführt wird – ohne unerwartete Änderungen oder Hintertüren. Die Funktionsweise von Scharf ist sowohl einfach als auch effektiv. Das Tool scannt Ihre Workflow-Dateien, identifiziert alle verwendeten Actions mit unsicheren, das heißt mutierenden Verweisen, und aktualisiert diese automatisch. Dabei müssen Entwickler nicht mühsam jede Referenz manuell überprüfen oder in mehreren Repositories nach unsicheren Aktionen suchen. Scharf liefert neben der automatischen Korrektur auch detaillierte Reports in JSON- oder CSV-Format, die einen schnellen Überblick über potenzielle Risiken geben – selbst wenn Sie viele Projekte oder unterschiedliche Branches parallel verwalten.
Ein weiterer Vorteil von Scharf liegt in der einfachen Integration in DevOps-Prozesse. Die Installation ist flexibel, unter anderem über den populären Paketmanager Homebrew, per vorgefertigtem Binärpaket oder via einem Installationsscript, das automatisch die neueste Version bezieht. Neben Linux und MacOS wird damit eine breite Anwenderbasis abgedeckt. Die Bedienung über die Kommandozeile ermöglicht eine nahtlose Einbindung in CI/CD-Pipelines, lässt sich aber auch problemlos lokal für einzelne Projekte nutzen. Für die Praxis bietet Scharf mehrere Befehle, die verschiedene Anforderungen erfüllen.
Mit dem Autofix-Befehl werden mutable Tags zuverlässig in den Workflow-Dateien durch die jeweiligen Commit-SHAs ersetzt, was nicht nur Zeit spart, sondern auch die Sicherheit erhöht. Für reine Audits bietet das Tool die Möglichkeit, Repositories zu scannen, ohne direkt Änderungen vorzunehmen, was sich für Konformitätsprüfungen oder Vorabkontrollen eignet. Außerdem kann Scharf in einem Workspace ganze Verzeichnisstrukturen erfassen und mehrere Repositories auf einmal prüfen – ein enormer Mehrwert für Unternehmen mit umfangreichen Codebasen. Ein herausragendes Feature ist die Möglichkeit, über die CLI direkt die verfügbaren Tags und zugehörigen Commit-Hashes eines beliebigen GitHub Actions Repositories abzurufen. So können Entwickler vor der Verwendung neuer Versionen genau nachvollziehen, welcher Code hinter einem Tag steht.
Zudem ist eine schnelle Suche nach dem SHA eines bestimmten Tags möglich, was die Kontrolle und Nachvollziehbarkeit weiter erhöht. Da Supply-Chain-Angriffe über fremde Bibliotheken oder Abhängigkeiten immer mehr an Bedeutung gewinnen, verfügt Scharf über den Mechanismus, mutable Referenzen zu erkennen und mittels Commit-SHA auf einen fixierten, geprüften Zustand umzuschalten. Auf diese Weise wird das Risiko verhindert, dass eine zuvor geprüfte Version durch spätere Änderungen unbemerkt ersetzt wird. Gerade bei häufig verwendeten und beliebten GitHub Actions wie actions/checkout oder actions/github-script ist dies von zentraler Bedeutung, um eine stabile und sichere Entwicklungsumgebung zu gewährleisten. Die Bedeutung solcher Schutzmaßnahmen zeigt sich auch in aktuellen Sicherheitsvorfällen.
Supply-Chain-Kompromittierungen, wie sie etwa bei der beliebten tj-actions/changed-files Action vorgekommen sind, wurden durch unsichere mutierbare Tags begünstigt und führten zu schwerwiegenden Angriffen mit dem potenziellen Verlust von Geheimnissen oder anderen sensiblen Daten. Scharf positioniert sich adressgenau gegen diese Art von Schwachstellen und vermittelt einen signifikanten Sicherheitsgewinn. Für GitHub Action-Anwender bietet sich Scharf auch als integrativer Bestandteil ihrer Workflows an. Es existiert eine dedizierte GitHub Action („cybrota/scharf-action“), die es ermöglicht, die automatische Sicherheitsüberprüfung und Fixes direkt in die CI-Pipeline einzubinden. Bei dieser Integration können Entwickler beispielsweise festlegen, dass unsichere mutable Tags als Fehler gekennzeichnet werden und damit die Pipeline fehlschlägt, wenn Risiken entdeckt werden.
Auf diese Weise wird die Sicherheit kontinuierlich und konsistent gewährleistet – ohne zusätzlichen manuellen Aufwand. Neben den offensichtlichen Sicherheitsvorteilen punktet Scharf auch mit seiner Geschwindigkeit und Benutzerfreundlichkeit. Das Tool nutzt effiziente Algorithms und greift auf die GitHub-API zurück, um Versionen und SHAs abzurufen. Außerdem ist es modular aufgebaut, so dass zukünftige Erweiterungen und Anpassungen problemlos möglich sind. Für Entwicklerteams aller Größenordnungen, von kleinen Open-Source-Projekten bis hin zu großen Unternehmen mit komplexen CI/CD-Systemen, wird so ein skalierbares Werkzeug angeboten, das sich problemlos in bestehende Prozesse integriert.
In der sich schnell entwickelnden Landschaft der DevSecOps-Praktiken ist die Vermeidung von Supply-Chain-Angriffen ein unverzichtbarer Teil moderner Softwareentwicklung. Scharf macht die sichere Verwaltung von GitHub Actions auf einfache und automatisierte Weise möglich. Entwickelnde profitieren nicht nur von einem erhöhten Vertrauen in ihre Build- und Deployment-Pipelines, sondern auch von der verbesserten Nachvollziehbarkeit und Compliance gegenüber Sicherheitsrichtlinien. Zum Abschluss bietet Scharf eine Reihe von hilfreichen Ressourcen und weiterführenden Links, die sowohl Einsteiger als auch erfahrene Sicherheitsbeauftragte unterstützen. Die Dokumentation erläutert detailliert die Nutzung, Konfigurationsmöglichkeiten und liefert Beispiele für die Integration.
Zusätzlich verweist das Tool auf aktuelle Sicherheitshinweise und -berichte zu betroffenen Actions, wodurch Anwender stets über die neuesten Bedrohungen informiert bleiben und entsprechend handeln können. Die Entscheidung, Scharf einzusetzen, ist eine Investition in die Sicherheit und Stabilität moderner Softwareprojekte. Indem mutable Tags eliminiert und durch festgelegte Commit-SHAs ersetzt werden, verhindert Scharf nicht nur Supply-Chain-Angriffe, sondern unterstützt auch Best Practices in Bezug auf Softwarelieferketten und Versionsmanagement. Wer Wert auf eine robuste und vertrauenswürdige GitHub Actions Umgebung legt, findet in Scharf ein unverzichtbares Werkzeug mit hohem praktischen Nutzen und nachhaltiger Wirkung auf die Sicherheit des gesamten Entwicklungsprozesses.
![Java build tooling could be so much better (Seattle Java User Group) [video]](/images/F65431A3-1821-49B8-9A86-628C532D1330)
