Mais de 39 milhões de chaves de API, credenciais e outros dados secretos foram vazados do GitHub no último ano, colocando usuários e organizações em risco.
A própria plataforma divulgou essa informação ao anunciar melhorias na sua ferramenta Advanced Security.
O GitHub agora bloqueia automaticamente “vários segredos a cada minuto” para impedir que eles sejam inseridos em ambiente de produção, ainda assim, o vazamento de segredos permanece um desafio significativo para quem utiliza o serviço.
Em desenvolvimento, o GitHub também liberou relatórios privados de vulnerabilidades, além de ter sofrido um ataque que afetou cerca de 23 mil repositórios.
Segredos são expostos acidentalmente com frequência, mas muitos vazamentos também ocorrem quando desenvolvedores, mesmo com boas intenções, os compartilham sem compreender os riscos envolvidos, conforme explicado pelo GitHub.
Para auxiliar os desenvolvedores a evitar esses erros, a empresa melhorou seu produto de segurança premium Advanced Security (GHAS).
Com a atualização do GHAS versão 3.18, os assinantes ganharão acesso a uma nova funcionalidade de varredura de ponto no tempo, sem custos adicionais.
Essa ferramenta, disponível na seção ‘settings’ do painel do GHAS, permitirá que os desenvolvedores identifiquem segredos expostos em seu código organizacional, acompanhados de uma avaliação de risco específica.
"Uma vez ativado, o GitHub executará uma varredura pontual em todos os repositórios - públicos, privados, internos e arquivados - da sua organização", informou o GitHub.
Os resultados são fixos e não serão atualizados automaticamente, mas haverá a opção de baixar os resultados em formato CSV.
Os insights proporcionados pelos resultados da varredura incluirão segredos vazados distinguindo por tipo, segredos que estão visíveis publicamente nos repositórios abertos e os repositórios que foram comprometidos para cada tipo de segredo, conforme detalhado no blog da plataforma.
Publicidade
Conheça a Solyd One, e tenha acesso a todos os cursos de segurança ofensiva da Solyd, todas as certificações práticas, incluindo a SYCP, 2 CTFs anuais com prêmios de até 30 mil reais, dezenas de laboratórios realísticos, suporte, comunidade e muito mais. Saiba mais...