GitHub запускает бесплатное сканирование репозиториев на наличие секретов

Discussion in 'Мировые новости. Обсуждения.' started by CyberTro1n, 20 Dec 2022.

  1. CyberTro1n

    CyberTro1n Elder - Старейшина

    Joined:
    20 Feb 2016
    Messages:
    1,077
    Likes Received:
    854
    Reputations:
    14
    GitHub внедряет поддержку бесплатного сканирования открытых секретов, таких как учётные данные и токены аутентификации, во всех общедоступных репозиториях.

    [​IMG]
    Ранее этот параметр безопасности включали для дополнительного сканирования, чтобы обнаружить случайное раскрытие известных типов секретов. Оно работает путём сопоставления шаблонов, предоставленных партнёрами, поставщиками услуг или организациями. О каждом совпадении сообщается на вкладке «Безопасность» репозитория. Служба секретного сканирования была доступна только организациям, использующим GitHub Enterprise Cloud с лицензией GitHub Advanced Security.

    GitHub сканирует репозитории на наличие более 200 форматов токенов (включая ключи API, токены аутентификации, токены доступа, сертификаты управления, учётные данные, закрытые и секретные ключи и многое другое).

    Только с начала этого года платформа выпустила более 1,7 млн предупреждений о потенциальных секретах, раскрытых в общедоступных репозиториях.

    Теперь представители GitHub заявили, что начинают постепенное общедоступное развёртывание сканирования всех общедоступных репозиториев в бета-режиме. Эта функция станет общедоступной к концу января 2023 года.

    GitHub будет автоматически уведомлять разработчиков об утечке секретов в коде, что позволит организациям легко отслеживать оповещения, идентифицировать источник утечки и быстро принимать меры для предотвращения мошеннического использования этой информации.

    Чтобы включить оповещения о секретном сканировании, требуется:

    • перейти на главную страницу репозитория;

    • нажать кнопку «Настройки»;

    • в разделе «Безопасность» на боковой панели выбрать «Безопасность и анализ кода»;

    • в нижней части страницы нажать «Включить» для сканирования секретов.
    В апреле GitHub расширил возможности сканирования секретов для клиентов GitHub Advanced Security, чтобы автоматически блокировать такую информацию и предотвращать случайное раскрытие.

    Также платформа объявила, что к концу 2023 года потребует от всех пользователей, добавляющих код на платформу, включить двухфакторную аутентификацию в качестве дополнительной меры защиты своих учётных записей.

    Cop¥: https://habr.com/ru/news/t/706172/
     
    Suicide likes this.
Loading...