O GitHub anunciou atualizações na sua plataforma Advanced Security após detectar mais de 39 milhões de segredos vazados em repositórios durante o ano de 2024, incluindo keys de API e credenciais, expondo usuários e organizações a sérios riscos de segurança.
Em um novo relatório do GitHub, a empresa de desenvolvimento diz que os 39 milhões de segredos foram encontrados através do seu serviço de varredura de segredos (secret scanning), um recurso de segurança que detecta keys de API, senhas, tokens e outros segredos em repositórios.
"Vazamento de segredos continua sendo uma das causas mais comuns — e evitáveis — de incidentes de segurança", lê-se no anúncio do GitHub.
À medida que desenvolvemos código mais rápido do que nunca antes imaginável, estamos vazando segredos mais rápido que nunca também.
Isso está acontecendo apesar das medidas de proteção direcionada do GitHub, como o "Push Protection", que foi introduzido em abril de 2022 e ativado por padrão em todos os repositórios públicos em fevereiro de 2024.
Segundo o GitHub, as principais razões para o contínuo vazamento de segredos são a priorização da conveniência por parte dos desenvolvedores que manejam segredos durante os commits e a exposição acidental de repositório através do histórico do git.
O GitHub anunciou várias novas medidas e aprimoramentos em sistemas existentes para mitigar vazamentos de segredos na plataforma.
"A partir de hoje, nossos produtos de segurança estão disponíveis para compra como produtos avulsos para empresas, permitindo que equipes de desenvolvimento escalem a segurança rapidamente", explicou o GitHub.
Anteriormente, investir em varredura de segredos e proteção push exigia a compra de um conjunto maior de ferramentas de segurança, o que tornava muito caro para muitas organizações.
Essa mudança garante que a segurança escalável com Secret Protection e Code Security não esteja mais fora de alcance para muitas organizações.
As mudanças no GitHub Advanced Security são resumidas da seguinte forma:
- Secret Protection e Code Security Avulsos – Agora disponíveis como produtos separados, essas ferramentas não requerem mais uma licença completa do GitHub Advanced Security, tornando-as mais acessíveis para equipes menores.
- Avaliação gratuita de risco de segredos para toda a organização – Uma varredura pontual que verifica todos os repositórios (públicos, privados, internos e arquivados) em busca de segredos expostos, gratuita para todas as organizações do GitHub.
- Push protection com controles de bypass delegados – A proteção push aprimorada busca por segredos antes que o código seja enviado e permite que as organizações definam quem pode ignorar a proteção, adicionando controle a nível de política.
- Detecção de segredos com poder do Copilot – O GitHub agora usa IA via Copilot para detectar segredos não estruturados, como senhas, melhorando a precisão e reduzindo falsos positivos.
- Detecção aprimorada via parcerias com provedores de nuvem – O GitHub trabalha com provedores como AWS, Google Cloud e OpenAI para construir detectores de segredos mais precisos e responder mais rapidamente aos vazamentos.
Além das iniciativas e melhorias do GitHub, os usuários também recebem uma lista de ações recomendadas para se protegerem contra vazamentos de segredos.
Primeiro, é sugerido que o Push Protection seja ativado no nível de repositório, organização ou empresa para bloquear segredos antes de serem enviados a um repositório.
O GitHub também destaca a importância de reduzir o risco eliminando os segredos codificados diretamente no código fonte, utilizando em vez disso variáveis de ambiente, gerenciadores de segredos ou cofres para armazená-los.
A plataforma sugere o uso de ferramentas que se integram com pipelines CI/CD e plataformas de nuvem para lidar com segredos de forma programática, reduzindo a interação humana que pode introduzir erros e exposição.
Por fim, recomenda-se que os usuários do GitHub revisem o guia de 'Melhores Práticas' e garantam que gerenciem adequadamente os segredos de ponta a ponta.
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...