Wenn man eine Person, die sich mit Softwareentwicklung beschäftigt, bittet, ein Beispiel für ein Versionsverwaltungssystem zu nennen, dann wird es mit großer Wahrscheinlichkeit Git sein. Git hat sich durchgesetzt, wie IBM Mainframes, COBOL, VHS, DOS, Windows, Java, ohne ein wirklich sehr gutes System zu sein. Es war gut genug, um die Weiterentwicklung von Linux voranzutreiben. Ok, Mainframes sind cool. Aber ich lenke ab.

Durchgesetzt hat sich Git aber nicht deshalb. Viele fingen an nur deshalb Git zu nutzen, weil es mit GitHub einen Onlinedienst gab, mit dem man leicht Softwareprodukte gemeinsam entwickeln kann, zunächst hauptsächlich Free Open Source Software. GitHub ließ sich wesentlich einfacher als bisherige ähnliche Dienste benutzen und so lernte man eben Git und nutzte weniger Subversion oder Mercurial (ebenfalls Versionsverwaltungssysteme). Wenn Git für Linux verwendet wird, wer weiß, vielleicht wird dann auch die eigene F/LOSS-Software mal so berühmt. Oder so ähnlich.

Irgendwie wurde GitHub damit zu einem sozialen Medium, zunächst für Softwareentwickler. Wie auf anderen SM-Plattformen kann man anderen Usern folgen und Sternchen vergeben. Bei gewissen „Leistungen“ bekommt man kleine Abzeichen und darf sich wichtiger fühlen. Einige nutzen GitHub, um sich über die eigene Arbeit bei potentiellen Arbeitgebern / Auftraggebern bekannt zu machen. Die ganz faulen können mittels GitHub auch Ihre eigene Website betreiben lassen. Und ja, es gibt noch einige weitere automatisierte Dienstleistungen dort, die manche für nützlich halten.

Soziale Medien sind zunächst für Ihre User nützlich. Aber irgendwann wollen ihre Betreiber damit Geld erwirtschaften. Dann werden sie für Ihre Kunden nützlich, auf Kosten der User. Und später wollen die Investoren auch etwas vom Kuchen abhaben.

Bei X lies sich das in letzter Zeit gut beobachten, quasi im Zeitraffer. Früher waren es MySpace, Facebook, Xing, … Erst vor einigen Monaten fragte ich mich, ob GitHub sich dazugesellen wird.

Offenbar.

Vor einer Woche bekam ich von GitHub eine Mail, dass ich 2FA nutzen muss, wenn ich auf GitHub noch relevante Dinge tun will. Nun ist Zweifaktorauthentifizierung per se nichts Schlimmes. Ich nutze es für viele selbst betriebene Dienste, seit einem Cyberanfall ist es auch beruflich Pflicht. Sollte jemand mein Passwort erraten, so kann diese Person nicht auf meine Onlinekonten zugreifen, sondern muss auch den zweiten Faktor besitzen, meist eine auf einem separatem Gerät generierte sechstellige Zahl, alle 30 Sekunden wechselnd.

Das ist soweit nicht uvernünftig. Problematisch sind die Begründung für den Nutzungszwang und dessen Randbedingungen.

Der Kern der Begründung ist:

Protecting developers and consumers of the open source ecosystem, including large enterprises, from these types of attacks is the first and most critical step toward securing the supply chain.

Kein Unternehmen nutzt meine über GitHub bereitgestellte Software. Wer muss vor einem Angriff auf mein Konto geschützt werden? Der Quelltext steht jeder Person offen. Jede Änderung kann nachvollzogen werden.

Die Randbedingung ist, dass ich auf mein Konto nie wieder zugreifen kann, wenn mir der zweite Faktor abhanden kommt. Kein Support wird mir laut Aussage der Mail von GitHub helfen. Der Zugang ist verloren.

Ich fasse einmal zusammen: kein Unternehmen nutzt die von mir erstellte Software. Sollte es doch ein Unternehmen geben, dann sind dessen Mitarbeiter offenbar damit überfordert, sich den Quelltext anzuschauen und interpretieren zu können. Es scheint immer noch unrühmliche Praktik zu sein, sich jeden Sch... herunterzuladen und ohne geschütztes Umfeld auszuprobieren, auch in Unternehmen. Trotzdem möchten die Unternehmen von meiner geistigen Leistung kostenfrei profitieren (dagegen habe ich nichts). Deshalb muss ich nun mein Konto so „absichern“, mich potentiell aussperren, damit die Mitarbeiter dieser Unternehmen ruhig ob ihres Unvermögens weiter schlafen können.

Meine auf GitHub am meisten gesternte Software ist der Zettelstore. Wer hinsieht, bemerkt, dass es auf GitHub nur eine Kopie ist. Das Original verwalte ich auf einer eigenen, selbst betriebenen Website, mit Hilfe eines anderen Versionsverwaltungssystems. Jeden Morgen um 8 Uhr werden mögliche Änderungen nach GitHub kopiert.

Damit gerät die ganze Aktion von GitHub zu einem Security-Compliance-Theater, das keinen relevanten Effekt hat. Einige haben vielleicht ein besseres Gefühl, besonders jene in den Unternehmen, die meine Software nicht nutzen. Gut, einen Effekt hat es: potentiell sperre ich mich aus GitGub aus.

Auch die Sache mit dem zweiten Faktor hat einen Haken: wenn die sechsstellige Zahl auf meinem Mobilgerät generiert wird und ich über dieses Mobilgerät auf mein Konto zugreifen möchte, dann ist die Idee des zweiten Faktors ins Absurde geführt. Und genau dies kontrolliert GitHub nicht, kann es auch nicht. Sprich: so oder so muss jede einzelne Person eine Sicherheitsabwägung für das eigene Konto machen und sich in diesem Sinne verantwortlich verhalten. Auch deshalb: nichts als Security-Compliance-Theater zu Lasten der User.

Zum Glück nutze ich GitHub nur als sekundäre Plattform für Versionsverwaltung. Das meiste sind Kopien von an anderer Stelle verwalteten Originalen. Der Rest degeneriert im Laufe der Zeit sowieso zu Müll. Da war ich meist zu faul zum Löschen.

Wer GitHub intensiver nutzt, ist selbst schuld, war es schon immer. Nun geht es offenbar den Weg, den letztens auch X begonnen hat zu beschreiten. Wie isst man eigentlich Popcorn im Zeitlupe?

Ich selbst werde bei GitHub nichts mehr einstellen und alles archivieren. Ich nutze dann nur nur die selbst betriebenen Systeme, Fossil, Gitea & Co. Für diejenigen, die Versionsverwaltungssysteme nicht selbst betreiben möchten, gibt es genügend Alternativen. Sogar solche, wo man nicht mit seinen Daten bezahlt, z.B. Codeberg oder Sourcehut. Bis zum nächsten SM-Hype.