GitHub automatycznie blokuje teraz wycieki tokenów i kluczy API dla wszystkich repozytoriów
GitHub automatycznie blokuje teraz wyciek poufnych informacji, takich jak klucze API i tokeny dostępu do wszystkich publicznych repozytoriów kodu.
Dzisiejsze ogłoszenie ma miejsce po tym, jak firma wprowadziła ochronę push w wersji beta ponad rok temu, w kwietniu 2022 r.
Ta funkcja aktywnie zapobiega wyciekom, skanując w poszukiwaniu tajemnic, zanim operacje „git push” zostaną zaakceptowane, i działa z 69 typami tokenów (klucze API, klucze prywatne, klucze tajne, tokeny uwierzytelniające, tokeny dostępu, certyfikaty zarządzania, poświadczenia i inne) wykrywalne z niskim współczynnikiem wykrywalności „fałszywie dodatnich”.
„Jeśli wypchniesz zatwierdzenie zawierające tajemnicę, pojawi się monit o ochronę przed wypychaniem z informacjami o typie tajnego klucza, lokalizacji i sposobie naprawienia ujawnienia” – powiedział dzisiaj GitHub.
„Ochrona przed wypychaniem blokuje tylko tajemnice o niskim współczynniku fałszywych trafień, więc gdy zatwierdzenie zostanie zablokowane, wiesz, że warto to zbadać”.
Według GitHub, od czasu wydania wersji beta, twórcy oprogramowania, którzy umożliwili to, z powodzeniem zapobiegli około 17 000 przypadkowym ujawnieniom poufnych informacji, oszczędzając ponad 95 000 godzin, które zostałyby wydane na unieważnianie, obracanie i naprawianie naruszonych tajemnic.
Chociaż wcześniej ta funkcja mogła być włączona tylko dla prywatnych repozytoriów przez organizacje z licencją GitHub Advanced Security, GitHub udostępnił ją również ogólnie we wszystkich publicznych repozytoriach.
„Obecnie ochrona push jest ogólnie dostępna dla prywatnych repozytoriów z licencją GitHub Advanced Security (GHAS)” – powiedziała firma.
„Ponadto, aby pomóc programistom i opiekunom z całego open source w proaktywnym zabezpieczaniu ich kodu, GitHub zapewnia bezpłatną ochronę przed wypychaniem dla wszystkich publicznych repozytoriów”.
Jak włączyć ochronę push poufnego skanowania
Organizacje z GitHub Advanced Security mogą włączyć funkcję ochrony przed skanowaniem tajnym zarówno na poziomie repozytorium, jak i organizacji za pośrednictwem interfejsu API lub za pomocą jednego kliknięcia w interfejsie użytkownika.
Szczegółowa procedura włączania ochrony przed wypychaniem w Twojej organizacji wymaga:
- W witrynie GitHub.com przejdź do strony głównej organizacji.
- Kliknij pod nazwą swojej organizacji Ustawienia.
- W sekcji „Bezpieczeństwo” na pasku bocznym kliknij Bezpieczeństwo i analiza kodu.
- W sekcji „Konfiguruj zabezpieczenia i analizę kodu” znajdź „Zaawansowane zabezpieczenia GitHub”.
- W sekcji „Tajne skanowanie” kliknij Włącz wszystkie obok „Ochrona przed naciśnięciem”.
- Opcjonalnie kliknij „Automatycznie włącz dla prywatnych repozytoriów dodanych do tajnego skanowania”.
Można go również włączyć dla pojedynczych repozytoriów, przełączając go w oknie dialogowym Ustawienia > Bezpieczeństwo i analiza > Zaawansowane zabezpieczenia GitHub w każdym repozytorium.
Więcej informacji na temat korzystania z ochrony przed wypychaniem z wiersza poleceń lub zezwalania na wypychanie niektórych tajemnic jest dostępnych w witrynie dokumentacji GitHub.
Ujawnione dane uwierzytelniające i tajemnice doprowadziły w ostatnich latach do naruszeń o dużym wpływie, jak wcześniej informował BleepingComputer [1, 2, 3].
Dlatego włączenie ochrony przed wypychaniem dla repozytoriów prywatnych lub za darmo w repozytoriach publicznych w celu zapewnienia, że wypychane kody są automatycznie blokowane, jeśli zawierają jakiekolwiek tajemnice, jest prostym sposobem obrony przed przypadkowymi wyciekami o potencjalnie ogromnych skutkach.