O GitHub ativou a proteção contra envio por padrão para todos os repositórios públicos para prevenir a exposição acidental de segredos como tokens de acesso e chaves API ao enviar novos códigos.
O anúncio de hoje vem após a empresa introduzir a proteção contra envio em beta quase dois anos atrás, em abril de 2022, como uma maneira fácil de prevenir vazamentos de informações sensíveis automaticamente.
O recurso se tornou geralmente disponível para todos os repositórios públicos em maio de 2023.
A proteção contra envio previne proativamente vazamentos analisando os segredos antes que as operações 'git push' sejam aceitas e bloqueando os commits quando um segredo é detectado.
O GitHub diz que o recurso de rastreamento de segredos previne automaticamente os segredos de vazarem, identificando mais de 200 tipos de tokens e padrões de mais de 180 provedores de serviços (chaves API, chaves privadas, chaves secretas, tokens de autenticação, tokens de acesso, certificados de gestão, credenciais, e mais).
"Esta semana, começamos a implementação da proteção do push para todos os usuários.
Isso significa que quando um segredo suportado é detectado em qualquer envio para um repositório público, você terá a opção de remover o segredo de seus commits ou, se considerar que o segredo é seguro, contornar o bloqueio," disseram Eric Tooley e Courtney Claessens do GitHub.
"Pode levar uma ou duas semanas para que esta mudança se aplique à sua conta; você pode verificar o status e optar por se inscrever antecipadamente nas configurações de segurança e análise de código."
Mesmo com a proteção contra envio ativada por padrão em todos os repositórios públicos, os usuários do GitHub podem contornar o bloqueio de commit automatizado.
Embora não seja recomendado, eles podem desativar completamente a proteção contra envio em suas configurações de segurança.
Organizações que assinaram o plano GitHub Enterprise podem usar o GitHub Advanced Security, que protege informações sensíveis dentro de repositórios privados.
Isso também adiciona uma série de outros recursos de verificação de segredos, bem como varredura de código, sugestões de código orientadas por IA e outras capacidades de segurança de aplicação estática (SAST).
"Vazamentos acidentais de chaves API, tokens e outros segredos correm o risco de violações de segurança, danos à reputação e responsabilidade legal em uma escala impressionante," disseram Tooley e Claessens.
"Nas primeiras oito semanas de 2024, o GitHub detectou mais de 1 milhão de segredos vazados em repositórios públicos.
São mais de uma dúzia de vazamentos acidentais a cada minuto."
Mais detalhes sobre o uso da proteção contra envio a partir da linha de comando ou permitindo que alguns segredos sejam enviados estão disponíveis nesta página de documentação do GitHub.
Como o BleepingComputer tem relatado nos últimos anos, credenciais expostas e segredos levaram a várias violações de alto impacto [1, 2, 3].
Publicidade
Aprenda a criar dispositivos incríveis com o especialista Júlio Della Flora. Tenha acesso a aulas prática que te ensinarão o que há de mais moderno em gadgets de hacking e pentest. Se prepare para o mercado de pentest físico e de sistemas embarcados através da certificação SYH2. Saiba mais...