GitHub scannt Codes vor dem Hochladen auf vertrauliche Informationen, um potenzielle Lecks zu erkennen
2 Minute. lesen
Veröffentlicht am
Teile diesen Artikel
Verbessern Sie diesen Leitfaden
Lesen Sie unsere Offenlegungsseite, um herauszufinden, wie Sie MSPoweruser dabei helfen können, das Redaktionsteam zu unterstützen Lesen Sie weiter
Wichtige Hinweise
- GitHub scannt öffentlichen Code automatisch auf geheime Lecks (API-Schlüssel, Token).
- Push-to-Public-Repos, die Geheimnisse enthalten, werden blockiert, mit Optionen zum Beheben oder Umgehen.
- Ziel ist es, versehentliche Lecks zu reduzieren und die Sicherheitslage der Entwickler zu verbessern.
- Standard-Opt-in, mit Umgehung und erweitertem Schutz für private Repos verfügbar.
GitHub, das kürzlich die gestartet hat 20 $/Monat Copilot Enterprisehat eine neue Sicherheitsfunktion für öffentliche Repositories angekündigt. Ab sofort beginnt GitHub damit, Code vor dem Hochladen automatisch auf vertrauliche Informationen wie API-Schlüssel und Token zu scannen. Wenn ein potenzielles Leck erkannt wird, wird der Schieber blockiert.
Diese Änderung erfolgt als Reaktion auf den besorgniserregenden Trend versehentlicher Geheimlecks in öffentlichen Repositories. GitHub berichtet, dass allein in den ersten acht Wochen des Jahres 1 über 2024 Million solcher Lecks identifiziert wurden.
Die versehentliche Offenlegung vertraulicher Informationen kann schwerwiegende Folgen haben. Ziel dieser neuen Funktion ist es, dieses Risiko zu mindern und die allgemeine Sicherheit innerhalb der Entwicklergemeinschaft zu verbessern.
Wie funktioniert die Funktion?
Öffentliche Code-Repositorys auf GitHub werden nun automatisch gescannt vordefinierte „Geheimnisse“ während des Push-Vorgangs. Wenn ein potenzielles Leck festgestellt wird, wird der Entwickler benachrichtigt und ihm werden zwei Optionen angeboten: Entfernen des Geheimnisses oder Umgehen der Blockierung (diese Option wird jedoch nicht empfohlen). Die Einführung dieser Funktion kann bis zu einer Woche dauern, bis sie alle Benutzer erreicht. Diese können sie auch frühzeitig in ihren Sicherheitseinstellungen aktivieren.
Für Entwickler bietet es mehrere Vorteile. Es trägt dazu bei, das Risiko von Datenlecks zu verringern, indem es automatisch nach Geheimnissen sucht, wodurch eine versehentliche Offenlegung sensibler Informationen verhindert werden kann. Darüber hinaus kann diese Funktion zu einer sichereren Entwicklungsumgebung für einzelne Entwickler und die Open-Source-Community beitragen und so die allgemeine Sicherheitslage verbessern.
Während Push-Schutz ist jetzt standardmäßig aktiviert, Entwickler können die Sperre im Einzelfall umgehen. Es wird nicht empfohlen, die Funktion vollständig zu deaktivieren.
Für Organisationen, die private Repositorys verwalten, bietet das Abonnieren des GitHub Advanced Security-Plans zusätzliche Sicherheitsfunktionen über das geheime Scannen hinaus, wie z. B. Code-Scannen und KI-gestützte Codevorschläge.
Mehr hier.
