GitHub automatycznie blokuje teraz wyciek poufnych informacji, takich jak klucze API i tokeny dostępu do wszystkich publicznych repozytoriów kodu.

Dzisiejsze ogłoszenie ma miejsce po tym, jak firma wprowadziła ochronę push w wersji beta ponad rok temu, w kwietniu 2022 r.

Ta funkcja aktywnie zapobiega wyciekom, skanując w poszukiwaniu tajemnic, zanim operacje „git push” zostaną zaakceptowane, i działa z 69 typami tokenów (klucze API, klucze prywatne, klucze tajne, tokeny uwierzytelniające, tokeny dostępu, certyfikaty zarządzania, poświadczenia i inne) wykrywalne z niskim współczynnikiem wykrywalności „fałszywie dodatnich”.

„Jeśli wypchniesz zatwierdzenie zawierające tajemnicę, pojawi się monit o ochronę przed wypychaniem z informacjami o typie tajnego klucza, lokalizacji i sposobie naprawienia ujawnienia” – powiedział dzisiaj GitHub.

„Ochrona przed wypychaniem blokuje tylko tajemnice o niskim współczynniku fałszywych trafień, więc gdy zatwierdzenie zostanie zablokowane, wiesz, że warto to zbadać”.

Według GitHub, od czasu wydania wersji beta, twórcy oprogramowania, którzy umożliwili to, z powodzeniem zapobiegli około 17 000 przypadkowym ujawnieniom poufnych informacji, oszczędzając ponad 95 000 godzin, które zostałyby wydane na unieważnianie, obracanie i naprawianie naruszonych tajemnic.

Chociaż wcześniej ta funkcja mogła być włączona tylko dla prywatnych repozytoriów przez organizacje z licencją GitHub Advanced Security, GitHub udostępnił ją również ogólnie we wszystkich publicznych repozytoriach.

„Obecnie ochrona push jest ogólnie dostępna dla prywatnych repozytoriów z licencją GitHub Advanced Security (GHAS)” – powiedziała firma.

„Ponadto, aby pomóc programistom i opiekunom z całego open source w proaktywnym zabezpieczaniu ich kodu, GitHub zapewnia bezpłatną ochronę przed wypychaniem dla wszystkich publicznych repozytoriów”.

Jak włączyć ochronę push poufnego skanowania

Organizacje z GitHub Advanced Security mogą włączyć funkcję ochrony przed skanowaniem tajnym zarówno na poziomie repozytorium, jak i organizacji za pośrednictwem interfejsu API lub za pomocą jednego kliknięcia w interfejsie użytkownika.

Szczegółowa procedura włączania ochrony przed wypychaniem w Twojej organizacji wymaga:

1. W witrynie GitHub.com przejdź do strony głównej organizacji.
2. Kliknij pod nazwą swojej organizacji Ustawienia.
3. W sekcji „Bezpieczeństwo” na pasku bocznym kliknij Bezpieczeństwo i analiza kodu.
4. W sekcji „Konfiguruj zabezpieczenia i analizę kodu” znajdź „Zaawansowane zabezpieczenia GitHub”.
5. W sekcji „Tajne skanowanie” kliknij Włącz wszystkie obok „Ochrona przed naciśnięciem”.
6. Opcjonalnie kliknij „Automatycznie włącz dla prywatnych repozytoriów dodanych do tajnego skanowania”.

Można go również włączyć dla pojedynczych repozytoriów, przełączając go w oknie dialogowym Ustawienia > Bezpieczeństwo i analiza > Zaawansowane zabezpieczenia GitHub w każdym repozytorium.

​Więcej informacji na temat korzystania z ochrony przed wypychaniem z wiersza poleceń lub zezwalania na wypychanie niektórych tajemnic jest dostępnych w witrynie dokumentacji GitHub.

Ujawnione dane uwierzytelniające i tajemnice doprowadziły w ostatnich latach do naruszeń o dużym wpływie, jak wcześniej informował BleepingComputer [1, 2, 3].

Dlatego włączenie ochrony przed wypychaniem dla repozytoriów prywatnych lub za darmo w repozytoriach publicznych w celu zapewnienia, że ​​wypychane kody są automatycznie blokowane, jeśli zawierają jakiekolwiek tajemnice, jest prostym sposobem obrony przed przypadkowymi wyciekami o potencjalnie ogromnych skutkach.