O GitHub está agora bloqueando automaticamente o vazamento de informações sensíveis, como chaves de API e tokens de acesso, para todos os repositórios de código público.
O anúncio de hoje vem depois que a empresa introduziu a proteção de push em beta há mais de um ano, em abril de 2022.
Essa funcionalidade previne proativamente vazamentos escaneando segredos antes que as operações 'git push' sejam aceitas e funciona com 69 tipos de tokens (chaves de API, chaves privadas, chaves secretas, tokens de autenticação, tokens de acesso, certificados de gerenciamento, credenciais e mais), detectáveis com uma baixa taxa de detecção "falso positivo".
"Se você estiver enviando um commit contendo um segredo, uma mensagem de proteção de push aparecerá com informações sobre o tipo de segredo, localização e como remediar a exposição", disse o GitHub hoje.
"A proteção de push somente bloqueia segredos com baixas taxas de falso positivo, então, quando um commit é bloqueado, você sabe que vale a pena investigar."
Desde o seu lançamento beta, desenvolvedores de software que o habilitaram evitaram com sucesso cerca de 17.000 exposições acidentais de informações sensíveis, economizando mais de 95.000 horas que teriam sido gastas revogando, rotacionando e remediando segredos comprometidos, de acordo com o GitHub.
Antes de hoje, essa funcionalidade só poderia ser habilitada para repositórios privados por organizações com uma licença de Segurança Avançada do GitHub, mas agora o GitHub também a tornou disponível para todos os repositórios públicos.
"Hoje, a proteção de push está disponível para repositórios privados com uma licença de Segurança Avançada do GitHub (GHAS)", disse a empresa.
"Além disso, para ajudar desenvolvedores e mantenedores em todo o código aberto a protegerem proativamente seu código, o GitHub está tornando a proteção de push gratuita para todos os repositórios públicos."
Organizações com Segurança Avançada do GitHub podem habilitar a funcionalidade de proteção de escaneamento de segredos de push em níveis de repositório e organização via API ou com apenas um clique na interface do usuário.
O procedimento detalhado para habilitar a proteção de push para sua organização requer que você: Também pode ser habilitado para repositórios individuais ativando-o na caixa de diálogo Configurações > Segurança e análise > Segurança Avançada do GitHub.
Mais detalhes sobre o uso da proteção de push a partir da linha de comando ou permitindo que alguns segredos sejam enviados estão disponíveis no site de documentação do GitHub.
Credenciais e segredos expostos levaram a violações de alto impacto nos últimos anos, como o BleepingComputer já relatou.
Portanto, habilitar a proteção de push para repositórios privados ou gratuitamente para repositórios públicos para garantir que os envios de código sejam automaticamente bloqueados se contiverem segredos é uma maneira simples de se defender contra vazamentos acidentais com impactos potencialmente enormes.
Publicidade
Passe por todas as principais fases de um pentest, utilizando cenários, domínios e técnicas reais utilizados no dia a dia de um hacker ético. Conte ainda com certificado e suporte, tudo 100% gratuito. Saiba mais...