GitHub pro skenování kódů pro citlivé informace před nahráním za účelem zjištění potenciálních úniků

GitHub, který nedávno spustil 20 $ měsíčně Copilot Enterprise, oznámila novou bezpečnostní funkci pro veřejná úložiště. S okamžitou platností začne GitHub před nahráním automaticky skenovat kód pro citlivé informace, jako jsou klíče API a tokeny. Pokud je zjištěna potenciální netěsnost, tlak bude zablokován.

Tato změna je reakcí na znepokojivý trend náhodných tajných úniků ve veřejných úložištích. GitHub uvádí, že jen za prvních osm týdnů roku 1 identifikuje více než 2024 milion takových úniků.

Náhodné vystavení citlivých informací může mít vážné následky. Tato nová funkce má za cíl toto riziko zmírnit a zlepšit celkovou bezpečnost v rámci vývojářské komunity.

Jak tato funkce funguje?

Úložiště veřejného kódu na GitHubu nyní podstoupí automatické skenování předem definovaná „tajemství“ během procesu push. Pokud je identifikován potenciální únik, vývojář bude upozorněn a nabídnuty dvě možnosti: odstranit tajný klíč nebo obejít blok (ačkoli tato možnost se nedoporučuje). Zavedení této funkce může trvat až týden, než se dostane ke všem uživatelům, kteří si ji také mohou povolit brzy v rámci svých nastavení zabezpečení.

Pro vývojáře má několik výhod. Pomáhá snižovat riziko úniku tím, že automaticky prohledává tajemství, což může zabránit náhodnému odhalení citlivých informací. Tato funkce může navíc přispět k bezpečnějšímu vývojovému prostředí pro jednotlivé vývojáře a komunitu s otevřeným zdrojovým kódem, a tím zlepšit celkovou pozici zabezpečení.

Zatímco ochrana proti tlaku je nyní ve výchozím nastavení povoleno, vývojáři mohou tento blok obejít případ od případu. Úplné zakázání této funkce se nedoporučuje.

Pro organizace spravující soukromá úložiště nabízí předplatné plánu GitHub Advanced Security další bezpečnostní funkce nad rámec tajného skenování, jako je skenování kódu a návrhy kódů založené na AI.

Moře zde.