Το GitHub πλέον αποκλείει αυτόματα τις διαρροές διακριτικών και κλειδιών API για όλα τα repos

Το GitHub αποκλείει πλέον αυτόματα τη διαρροή ευαίσθητων πληροφοριών, όπως τα κλειδιά API και τα διακριτικά πρόσβασης για όλα τα δημόσια αποθετήρια κώδικα.

Η σημερινή ανακοίνωση έρχεται αφότου η εταιρεία εισήγαγε την προστασία push σε beta πριν από περισσότερο από ένα χρόνο, τον Απρίλιο του 2022.

Αυτή η δυνατότητα αποτρέπει προληπτικά τις διαρροές σαρώνοντας για μυστικά πριν γίνουν αποδεκτές οι λειτουργίες “git push” και

λειτουργεί με 69 τύπους διακριτικών

(Κλειδιά API, ιδιωτικά κλειδιά, μυστικά κλειδιά, διακριτικά ελέγχου ταυτότητας, διακριτικά πρόσβασης, πιστοποιητικά διαχείρισης, διαπιστευτήρια και άλλα) ανιχνεύσιμα με χαμηλό ποσοστό ανίχνευσης “ψευδώς θετικών”.

“Εάν προωθείτε μια δέσμευση που περιέχει ένα μυστικό, θα εμφανιστεί ένα μήνυμα προστασίας ώθησης με πληροφορίες σχετικά με τον τύπο του μυστικού, την τοποθεσία και τον τρόπο αποκατάστασης της έκθεσης,” GitHub

είπε

σήμερα.

“Η προστασία ώθησης μπλοκάρει μόνο μυστικά με χαμηλά ποσοστά ψευδώς θετικών, οπότε όταν μπλοκάρεται μια δέσμευση, ξέρετε ότι αξίζει να το διερευνήσετε.”

Από την έκδοση beta, οι προγραμματιστές λογισμικού που το επέτρεψαν απέτρεψαν με επιτυχία περίπου 17.000 τυχαίες εκθέσεις ευαίσθητων πληροφοριών, εξοικονομώντας περισσότερες από 95.000 ώρες που θα είχαν δαπανηθεί για την ανάκληση, την περιστροφή και την αποκατάσταση παραβιασμένων μυστικών, σύμφωνα με το GitHub.

Ενώ πριν από σήμερα, αυτή η δυνατότητα μπορούσε να ενεργοποιηθεί μόνο για ιδιωτικά αποθετήρια από οργανισμούς με άδεια GitHub Advanced Security, το GitHub το έχει καταστήσει επίσης γενικά διαθέσιμο σε όλα τα δημόσια repos.

“Σήμερα, η προστασία push είναι γενικά διαθέσιμη για ιδιωτικά αποθετήρια με άδεια GitHub Advanced Security (GHAS)”, δήλωσε η εταιρεία.

“Επιπλέον, για να βοηθήσει τους προγραμματιστές και τους συντηρητές σε όλο τον ανοιχτό κώδικα να προστατεύουν τον κώδικά τους, το GitHub κάνει δωρεάν την προστασία push για όλα τα δημόσια αποθετήρια.”

Πώς να ενεργοποιήσετε την προστασία ώθησης μυστικής σάρωσης

Οι οργανισμοί με το GitHub Advanced Security μπορούν να ενεργοποιήσουν τη λειτουργία μυστικής προστασίας ώθησης σάρωσης τόσο σε επίπεδο αποθετηρίου όσο και σε επίπεδο οργανισμού μέσω του API ή με ένα μόνο κλικ από τη διεπαφή χρήστη.

Η λεπτομερής διαδικασία για την ενεργοποίηση της προστασίας push για τον οργανισμό σας απαιτεί:

1. Στο GitHub.com, μεταβείτε στην κύρια σελίδα του οργανισμού.
2. Κάτω από το όνομα του οργανισμού σας, κάντε κλικ
   
   Ρυθμίσεις
   
   .
3. Στην ενότητα “Ασφάλεια” της πλαϊνής γραμμής, κάντε κλικ
   
   Ασφάλεια και ανάλυση κώδικα
   
   .
4. Στην ενότητα “Διαμόρφωση ασφάλειας και ανάλυσης κώδικα”, βρείτε το “GitHub Advanced Security”.
5. Στην ενότητα “Μυστική σάρωση”, κάντε κλικ
   
   Ενεργοποίηση όλων
   
   δίπλα στην “Προστασία με ώθηση”.
6. Προαιρετικά, κάντε κλικ στην επιλογή “Αυτόματη ενεργοποίηση για ιδιωτικά αποθετήρια που έχουν προστεθεί στη μυστική σάρωση.”

Μπορεί επίσης να ενεργοποιηθεί για μεμονωμένα αποθετήρια εναλλάσσοντάς το από το παράθυρο διαλόγου Ρυθμίσεις > Ασφάλεια και ανάλυση > GitHub Advanced Security.

​Περισσότερες λεπτομέρειες σχετικά με τη χρήση της προστασίας ώθησης από τη γραμμή εντολών ή τη δυνατότητα προώθησης ορισμένων μυστικών είναι διαθέσιμες στο

Ο ιστότοπος τεκμηρίωσης του GitHub

.

Τα εκτεθειμένα διαπιστευτήρια και μυστικά έχουν οδηγήσει σε παραβιάσεις υψηλού αντίκτυπου τα τελευταία χρόνια, όπως έχει αναφέρει προηγουμένως η BleepingComputer [

1

, 2, 3].

Επομένως, η ενεργοποίηση της προστασίας ώθησης για ιδιωτικά αποθετήρια ή δωρεάν σε δημόσια αποθετήρια για να διασφαλιστεί ότι οι ωθήσεις κώδικα αποκλείονται αυτόματα εάν περιέχουν μυστικά είναι ένας απλός τρόπος άμυνας από τυχαίες διαρροές με δυνητικά τεράστιες επιπτώσεις.