Git-GUI-Telemetrie im Vergleich: Wer trackt Sie 2026
Die meisten Desktop-Anwendungen sammeln Nutzungsdaten. Git-GUIs sind keine Ausnahme. Dieser Artikel vergleicht das Telemetrieverhalten von vier beliebten Git-Clients — GitKraken, Fork, SourceTree und GitSquid — basierend auf beobachtbarem Netzwerkverkehr. Die Zahlen stammen aus einer 24-Stunden-Paketmitschnittsitzung pro App, mit demselben geöffneten Repository und minimaler Benutzerinteraktion.
Offenlegung: Dieser Artikel wird auf der GitSquid-Website veröffentlicht. Die Methodik wird im Detail beschrieben, damit Sie die Zahlen selbst reproduzieren können.
Warum das wichtig ist
"Telemetrie" ist ein weiches Wort für "Ihre Anwendung sendet Daten an ihren Anbieter, ohne dass Sie aktiv darum bitten". Oft sind die Daten wirklich harmlos: ein anonymer Nutzungszähler, ein Crash-Report, eine Feature-Flag-Prüfung. Manchmal ist es mehr: welche Buttons Sie klicken, welche Repositories Sie offen haben, welche Funktionen Sie ausprobiert haben.
Für die meisten Nutzer ist das kein Problem. Für drei Nutzergruppen ist es eine harte Einschränkung:
- Regulierte Branchen. Gesundheitswesen, Finanzen, Verteidigung, Behörden. IT-Prüfprozesse blockieren routinemäßig jedes Tool, das mit identifizierbaren Daten nach Hause telefoniert.
- NDA / proprietäre Arbeit. Wenn Ihre Repository- oder Branch-Namen Kunden- oder Produktinformationen enthalten, ist deren Leak via Telemetrie ein echtes Anliegen.
- Datenschutzbewusste Entwickler. Manche Menschen wollen einfach nicht, dass ihre Workflow-Telemetrie erfasst wird, egal wie anonymisiert sie angeblich ist.
Methodik
Für jede App:
- Frische Installation auf einem Mac (M2, macOS 15) ohne vorherige Historie.
- Konfiguriert mit einem lokalen Repository (dem GitSquid-Quellrepo, ein synthetischer Klon ohne Remote).
- Repository in der App geöffnet, dann App im Vordergrund aber im Leerlauf für 24 Stunden gelassen.
- Netzwerkverkehr mit mitmproxy im transparenten Modus aufgezeichnet, Zertifikat auf Systemebene als vertrauenswürdig eingestuft.
- Anfragen nach Zieldomäne gezählt. Auto-Update-Prüfungen ausgeschlossen (separat gezählt).
Das Repository hatte keinen Remote konfiguriert, sodass jeglicher ausgehender Verkehr während des 24-Stunden-Fensters entweder Telemetrie, Lizenzvalidierung oder die Auto-Update-Prüfung war. Die drei zu unterscheiden ist einfach: Lizenzvalidierung trifft einen einzelnen Lizenzserver-Endpunkt einmal; der Auto-Updater trifft eine bekannte Release-Manifest-URL ein- oder zweimal; alles andere ist Telemetrie.
Ergebnisse
| Tool | Telemetrieanfragen / 24h | Auto-Update-Prüfungen | Lizenzvalidierung | Ausgehend gesamt |
|---|---|---|---|---|
| GitSquid | 0 | 1 | 1 (nur Pro) / 0 (Free) | 1-2 beim Start, danach 0 |
| Fork | 0 | 2 (Manifest-Polling) | 0 | 2 |
| SourceTree | ~80 | 2 | 1 (Atlassian-Anmeldung) | ~83 |
| GitKraken | ~140 | 2 | ~24 (stündlicher Heartbeat) | ~166 |
Zwei der vier Apps senden im Wesentlichen nichts. Zwei senden Dutzende bis Hunderte von Anfragen pro Tag, selbst ohne Benutzerinteraktion.
Wohin die Anfragen gehen
GitKraken
Beobachtete Ziele während des 24-Stunden-Fensters:
api.gitkraken.com— Lizenz-Heartbeat, Account-Session-Refresh und Feature-Flag-Prüfungen.analytics.gitkraken.com— Nutzungsanalysen. Jede Navigation, Panel-Öffnung und Git-Operation erzeugt ein Ereignis.sentry.io— Fehlerberichte (löst auch bei Warnungen aus, nicht nur bei Abstürzen).statsig.com— Feature-Flag- und A/B-Test-Auswertung.logrocket.comin einigen Sessions — Session-Replay, wenn aktiviert.
SourceTree
id.atlassian.com— Account-Session-Refresh, periodisch aufgerufen.sourcetree.atlassian.com— Feature-Nutzungsanalysen.sentry.io— Fehlerberichte.analytics.atlassian.com— produktübergreifende Atlassian-Analysen.
Fork
git-fork.com/sparkle— Auto-Update-Manifest. Zwei Prüfungen im 24h-Fenster. Keine Telemetrie-Endpunkte kontaktiert.
GitSquid
github.com/TheMax98000/gitsquid-releases— Auto-Update-Manifest (`latest.json`). Ein Abruf beim Start. Seit v2.7 ist diese Prüfung obligatorisch und kann vom Nutzer nicht deaktiviert werden (ein Settings-Toggle steht auf der Roadmap).gitsquid.dev/api/validate-license— Lizenzvalidierung. Eine Anfrage beim Start nur für Pro-Nutzer (Free-Nutzer treffen diesen Endpunkt nicht). Der Request-Body enthält nur den Lizenzschlüssel als Query-Parameter — keine Maschinen-ID, keine Nutzungsdaten, keine Telemetrie. Wenn die API nicht erreichbar ist, fällt die App auf ein kürzlich zwischengespeichertes Ergebnis zurück, dann auf eine lokale Checksum-Verifikation des Schlüssels. Eine Pro-Lizenz funktioniert also offline weiter, aber die Online-Prüfung ist der Standardpfad, sobald Netzwerk verfügbar ist.- Zu keinem Zeitpunkt wurden Telemetrie-Endpunkte kontaktiert. Keine Analysen, kein Event-Tracking, kein Crash-Reporting-Service, kein Feature-Flag-Service.
Wie die Daten aussehen
Die Anzahl der Anfragen ist eine Sache. Der Inhalt jeder Anfrage ist eine andere. Wir haben einige GitKraken-Analytics-POSTs stichprobenartig untersucht:
- Repository-Pfad (vollständiger lokaler Pfad, gehasht aber umkehrbar, wenn Sie das Salt haben).
- Branch-Name des aktuell ausgecheckten Branches.
- Anzahl der Commits im Repository.
- Welche Git-Operationen ausgeführt wurden und wie oft.
- Welche UI-Panels geöffnet wurden.
- Betriebssystem, App-Version, Bildschirmauflösung.
Nichts davon ist bösartig, und GitKrakens Datenschutzrichtlinie legt es offen. Aber für einen Nutzer unter NDA kann "Branch-Name des aktuell ausgecheckten Branches" `feature/customer-acme-bug-fix` an einen Drittserver leaken, was genau das ist, was NDAs typischerweise verbieten.
SourceTrees Payloads sind kleiner und stärker anonymisiert, enthalten aber dennoch Repository-Fingerprints und Feature-Nutzungsereignisse.
Können Sie es ausschalten?
| Tool | Opt-out verfügbar? |
|---|---|
| GitKraken | Teilweise — Sie können einige Analysen deaktivieren, aber nicht alle (Lizenz-Heartbeat ist obligatorisch). |
| SourceTree | Teilweise — Analytics-Opt-out existiert, Account-Session-Refresh ist obligatorisch. |
| Fork | N/A — keine Telemetrie zum Abschalten. Auto-Update kann deaktiviert werden. |
| GitSquid | N/A — keine Telemetrie zum Abschalten. Auto-Update-Prüfung und Lizenzvalidierung erfolgen beide einmalig beim Start und können derzeit nicht über die Einstellungen deaktiviert werden. Ein Toggle für beides steht auf der Roadmap. |
Bei GitKraken und SourceTree ist "Telemetrie aus" nicht dasselbe wie "kein ausgehender Verkehr". Der Lizenz- / Account-Session-Refresh läuft unabhängig davon weiter.
Für IT-Reviews
Viele Unternehmens-IT-Abteilungen prüfen Desktop-Tools vor der Freigabe. Die Fragen, die sie stellen:
- Erfordert es ein Konto? — Nein bei GitSquid und Fork. Ja bei GitKraken und SourceTree.
- Telefoniert es nach Hause? — Bei GitSquid: ja, aber nur beim Start (1 Update-Prüfung + 1 Lizenzvalidierung für Pro). Keine Analysen, kein wiederkehrender Hintergrundverkehr. Bei Fork: nur das Auto-Update-Manifest. Bei GitKraken und SourceTree: ja, wiederkehrend während der gesamten Sitzung.
- Ist die Lizenzvalidierung offlinefähig? — Bei GitSquid: versucht zuerst online (nur Pro), fällt auf ein kürzlich zwischengespeichertes Ergebnis zurück, dann auf eine lokale Checksum, falls beides scheitert. Ein Pro-Schlüssel funktioniert ohne Internet weiter; die Online-Prüfung ist der Standard, sobald Netzwerk verfügbar ist. Bei Fork: Einmallizenz, keine Validierung nötig. Bei GitKraken: online erforderlich.
- Leakt es Repository- / Branch-Namen? — Nein bei GitSquid und Fork. Ja bei GitKraken (in Analytics-Payloads), teilweise bei SourceTree.
In einer air-gapped Umgebung schlagen die Auto-Update-Prüfung und die Lizenzvalidierung von GitSquid einfach stillschweigend fehl und fallen auf den zwischengespeicherten / Offline-Pfad zurück. Die App funktioniert weiter, aber die IT möchte vielleicht über diese beiden ausgehenden Anfragen beim Start Bescheid wissen. Ein zukünftiger Settings-Toggle, um beide zu überspringen, wird Bereitstellungen in strengen Umgebungen vereinfachen.
Für eine streng regulierte Umgebung sind GitSquid und Fork am einfachsten freizugeben — der einzige ausgehende Verkehr ist begrenzt (nur beim Start, bei GitSquid) oder rein Update-bezogen (Fork). GitKraken und SourceTree bestehen die Prüfung normalerweise nicht ohne ausgehandelte Datenverarbeitungsvereinbarungen.
Das Ganze reproduzieren
Die obigen Zahlen wurden mit mitmproxy im transparenten Proxy-Modus gemessen. Zur Reproduktion auf Ihrer eigenen Maschine:
- mitmproxy installieren:
brew install mitmproxyauf Mac, Paketmanager-Äquivalent unter Linux. - System so konfigurieren, dass HTTPS über `localhost:8080` geleitet wird.
- Der mitmproxy-CA auf Systemebene vertrauen.
- Ihren Git-Client starten, ein lokales Repository öffnen, im Vordergrund lassen.
- Das Live-Anfrageprotokoll in der mitmproxy-UI beobachten.
Sie werden sehen, wie der Anfragenzähler bei den telemetrielastigen Clients in Echtzeit steigt und bei den anderen flach bleibt.
Die ehrliche Einschätzung
Telemetrie ist nicht per se böse. Softwareanbieter nutzen sie, um Bugs zu beheben, Funktionen zu priorisieren und zu verstehen, wer ihre Nutzer sind. GitKrakens Datenschutzrichtlinie ist transparent darüber, was gesammelt wird, und die Daten helfen tatsächlich, ein besseres Produkt zu bauen.
Die Wahl ist, ob Sie diesen Kompromiss wollen. Für Verbrauchertools (Browser, Musikplayer) akzeptieren ihn die meisten Menschen. Für Entwicklerwerkzeuge, die über potenziell sensiblen Code laufen, sagen mehr Entwickler nein — insbesondere, da die telemetriefreien Alternativen genauso leistungsfähig werden wie die getrackten.
Wenn "minimaler ausgehender Verkehr, keine Analysen, keine Drittanbieter-Tracker" auf Ihrer Anforderungsliste steht, laden Sie GitSquid herunter. Der Start löst 1-2 Anfragen aus (Update-Prüfung + Lizenzvalidierung für Pro), danach nichts für den Rest der Sitzung. Die gleiche Einschränkung gilt grob auch für Fork (59 $ einmalig, kein Linux). Beide bestehen die IT-Prüfung, wo GitKraken und SourceTree es normalerweise nicht tun.