Компанія GitHub оголосила про масштабне оновлення своєї платформи Advanced Security після того, як виявила понад 39 мільйонів витоків секретів у репозиторіях протягом 2024 року. Серед них — API-ключі, токени доступу й облікові дані, які створюють серйозні ризики для безпеки як для окремих користувачів, так і для організацій.
У новому звіті GitHub повідомила, що виявила ці витоки завдяки сервісу сканування секретів — функції безпеки, яка знаходить у репозиторіях ключі API, паролі, токени й інші конфіденційні дані.
«Витоки секретів залишаються однією з найпоширеніших і водночас однією з найпростіших для уникнення причин інцидентів безпеки. Ми пишемо код швидше, ніж будь-коли, але й секрети втрачаються швидше, ніж будь-коли раніше», — йдеться в заяві GitHub.
Це відбувається попри запроваджені захисні заходи, такі як Push Protection, яка з квітня 2022 року блокує коміти із секретами, а з лютого 2024 року увімкнена за замовчуванням для всіх публічних репозиторіїв.
Основні причини витоків, за даними GitHub, — це орієнтація розробників на зручність, коли секрети випадково потрапляють у коміти, а також несвідоме відкриття репозиторіїв через історію git.
GitHub оновлює Advanced Security: що нового
Щоб зменшити кількість витоків, у GitHub анонсували низку нових функцій і вдосконалень:
- Secret Protection і Code Security як окремі продукти. Раніше для доступу до захисту секретів потрібно було купувати весь пакет Advanced Security. Тепер ці інструменти можна купити окремо, що зробить їх доступнішими для невеликих команд.
- Безкоштовне оцінювання ризиків на рівні організації. Разове повне сканування всіх репозиторіїв (публічних, приватних, внутрішніх і архівних) на наявність витоків — безкоштовно для всіх організацій GitHub.
- Push Protection із делегованими правами обходу. Удосконалена система, що блокує завантаження коду з секретами, дає можливість задавати, хто саме має право її обійти, — на рівні політик.
- Виявлення секретів за допомогою Copilot. Завдяки ШІ GitHub Copilot система тепер краще розпізнає неструктуровані секрети, як-от паролі, зменшуючи кількість помилкових спрацьовувань.
- Покращене виявлення через партнерства із хмарними провайдерами. GitHub співпрацює з AWS, Google Cloud, OpenAI та іншими, щоб покращити точність сканування і швидше реагувати на витоки.
Що рекомендує GitHub розробникам
GitHub також нагадав користувачам про найкращі практики з управління секретами:
- Увімкніть Push Protection для репозиторіїв, організацій або на рівні підприємства — це допоможе запобігти витоку ще до завантаження коду.
- Уникайте хардкодингу секретів у коді. Замість цього використовуйте змінні середовища, менеджери секретів або секрет-сховища (vaults).
- Інтегруйте засоби керування секретами в CI/CD-пайплайни та хмарні платформи, щоб мінімізувати ризики через людський фактор.
- Регулярно звертайтеся до гайдів із найкращими практиками з безпеки, щоб забезпечити повноцінний контроль над секретами на всіх етапах.
Оновлення GitHub Advanced Security має на меті зробити захист простішим, доступнішим і масштабованим, щоб навіть невеликі команди могли ефективно захищати свої проєкти від випадкових витоків конфіденційної інформації.
Нагадаємо, торік GitHub представив Copilot Autofix — службу усунення вразливостей програмного забезпечення на основі штучного інтелекту у межах служби GitHub Advanced Security (GHAS).
Підписуйтеся на ProIT у Telegram, щоб не пропустити жодної публікації!
