GitHub за замовчуванням увімкнув захист від push для всіх загальнодоступних сховищ, щоб запобігти випадковому розкриттю секретів, таких як маркери доступу та ключі API, під час надсилання нового коду. Про це повідомляє BleepingComputer.
Це оголошення з’явилося після того, як компанія представила бета-версію захисту від push-розсилки майже 2 роки тому (у квітні 2022 року) як простий спосіб автоматично запобігати витоку конфіденційної інформації. Функція стала загальнодоступною для всіх публічних репо у травні 2023 року.
Захист від надсилання проактивно запобігає витокам шляхом сканування на наявність секретів до того, як будуть прийняті операції git push, і блокування комітів у разі виявлення секрету.
GitHub повідомляє, що функція секретного сканування автоматично запобігає витоку секретів, виявляючи більш ніж 200 типів токенів і шаблонів від понад 180 постачальників послуг (ключі API, приватні ключі, секретні ключі, маркери автентифікації, маркери доступу, сертифікати керування, облікові дані тощо).
«Цього тижня ми розпочали розгортання захисту від розсилки для всіх користувачів. Це означає, що коли підтримуваний секрет буде виявлено в будь-якому надсиланні до загальнодоступного сховища, ви матимете змогу видалити секрет зі своїх комітів або обійти блокування», – сказали Ерік Тулі та Кортні Классенс із GitHub.
Вказана зміна буде застосована до облікових записів користувачів протягом тижня або двох. Статус можна перевірити та увімкнути його раніше в налаштуваннях безпеки й аналізу коду.
Навіть якщо за замовчуванням для всіх загальнодоступних сховищ увімкнено захист від push, користувачі GitHub можуть обійти автоматичне блокування. Хоча це не рекомендується, вони можуть повністю вимкнути захист від push у своїх налаштуваннях безпеки.
Організації, які підписалися на план GitHub Enterprise, можуть використовувати GitHub Advanced Security, який захищає конфіденційну інформацію у приватних сховищах. Це також додає набір інших секретних функцій сканування, а також сканування коду, підказки коду, керовані ШІ, та інші можливості статичної безпеки застосунків (SAST).
«Випадкові витоки ключів API, токенів та інших секретів загрожують порушенням безпеки, шкодою репутації та юридичною відповідальністю у приголомшливих масштабах. Лише за перші 8 тижнів 2024 року GitHub виявив понад 1 мільйон витоку секретів у публічних сховищах. Це більш ніж десяток випадкових витоків щохвилини», – заявили Тулі і Классенс.
Додаткові відомості про використання захисту від надсилання з командного рядка або дозволу надсилання деяких секретів доступні на цій сторінці документації GitHub.
Читайте також на ProIT, як оптимізувати процес контейнеризації застосунків Java.
Раніше ProIT повідомляв, що пакет Everything спричинив хаос у репозиторії NPM.
Підписуйтеся на ProIT у Telegram, щоб не пропустити жодної публікації!