GitHub a activat protecția la push implicit pentru toate depozitele publice pentru a preveni expunerea accidentală a secretelor cum ar fi token-urile de acces și cheile API atunci când se face push la un cod nou.
Anunțul de astăzi vine după ce compania a introdus protecția la push în beta acum aproape doi ani, în aprilie 2022, ca o modalitate ușoară de a preveni scurgerile de informații sensibile automat. Funcția a devenit disponibilă general pentru toate depozitele publice în mai 2023.
Protecția la push previne în mod proactiv scurgerile scanând pentru secrete înainte ca operațiunile ‘git push’ să fie acceptate și blocând commit-urile atunci când este detectat un secret.
GitHub spune că funcția de scanare a secretelor previne automat scurgerile prin identificarea a peste 200 de tipuri de token-uri și pattern-uri de la peste 180 furnizori de servicii (chei API, chei private, chei secrete, token-uri de autentificare, token-uri de acces, certificate de management, credențiale și altele).
„În această săptămână, am început implementarea protecției la push pentru toți utilizatorii. Acest lucru înseamnă că atunci când un secret suportat este detectat în orice push către un depozit public, veți avea opțiunea de a elimina secretul din commit-urile dvs. sau, dacă considerați că secretul este sigur, de a trece de blocare”, au spus Eric Tooley și Courtney Claessens de la GitHub.
„Ar putea dura o săptămână sau două până când această modificare se aplică contului dvs.; puteți verifica starea și vă puteți înscrie mai devreme în setările de securitate și analiză a codului.”
Chiar și cu protecția la push activată implicit pentru toate depozitele publice, utilizatorii GitHub pot ocoli blocarea automată a commit-urilor. Cu toate că nu este recomandat, aceștia pot dezactiva complet protecția la push în setările lor de securitate.
Organizațiile abonate la planul GitHub Enterprise pot utiliza GitHub Advanced Security, care protejează informațiile sensibile din depozitele private. Acest lucru adaugă, de asemenea, o suită de alte funcții de scanare a secretelor, precum și scanarea codului, sugestii de cod conduse de AI și alte capacități de securitate a aplicațiilor statice (SAST).
„Scurgerile accidentale de chei API, token-uri și alte secrete pun în pericol breșe de securitate, daune de reputație și răspundere legală la o scară uluitoare”, au spus Tooley și Claessens.
„În primele opt săptămâni ale anului 2024, GitHub a detectat peste 1 milion de secrete scurse în depozitele publice. Aceasta înseamnă peste o duzină de scurgeri accidentale în fiecare minut.”
Mai multe detalii despre utilizarea protecției la push din linia de comandă sau permiterea unor secrete să fie pushuite sunt disponibile pe această pagină de documentație GitHub.
Cum BleepingComputer a raportat în ultimii ani, credențialele expuse și secretele au condus la mai multe breșe de impact ridicat [1, 2, 3].
GitHub poate acum bloca automat scurgerile de token-uri și chei API pentru toate depozitele
Wyze expune datele utilizatorilor printr-un cluster ElasticSearch nesecurizat
Un token GitHub gestionat necorespunzător a expus codul sursă al Mercedes-Benz
20 de milioane de înregistrări de utilizator Cutout.Pro au fost scurse pe un forum de încălcări de date
Insomniac Games alertează angajații afectați de o breșă de date ransomware
Leave a Reply