Το GitHub για σάρωση κωδικών για ευαίσθητες πληροφορίες πριν από τη μεταφόρτωση για τον εντοπισμό πιθανών διαρροών
2 λεπτό. ανάγνωση
Δημοσιεύθηκε στις
Μοιραστείτε αυτό το άρθρο
Βελτιώστε αυτόν τον οδηγό
Διαβάστε τη σελίδα αποκάλυψης για να μάθετε πώς μπορείτε να βοηθήσετε το MSPoweruser να διατηρήσει τη συντακτική ομάδα Διάβασε περισσότερα
Βασικές σημειώσεις
- Το GitHub σαρώνει αυτόματα τον δημόσιο κώδικα για μυστικές διαρροές (κλειδιά API, διακριτικά).
- Το Push to public repos που περιέχει μυστικά θα αποκλειστεί, με επιλογές για διόρθωση ή παράκαμψη.
- Στοχεύει στη μείωση των τυχαίων διαρροών και στη βελτίωση της στάσης ασφαλείας του προγραμματιστή.
- Προεπιλεγμένη επιλογή συμμετοχής, με παράκαμψη και προηγμένη προστασία για ιδιωτικά repos διαθέσιμα.
Το GitHub, το οποίο κυκλοφόρησε πρόσφατα το 20 $/μήνα Copilot Enterprise, ανακοίνωσε μια νέα δυνατότητα ασφαλείας για τα δημόσια αποθετήρια. Με άμεση ισχύ, το GitHub θα αρχίσει να σαρώνει αυτόματα τον κώδικα για ευαίσθητες πληροφορίες, όπως κλειδιά και διακριτικά API, πριν τη μεταφόρτωσή του. Εάν εντοπιστεί πιθανή διαρροή, η ώθηση θα μπλοκαριστεί.
Αυτή η αλλαγή έρχεται ως απάντηση σε μια ανησυχητική τάση τυχαίων διαρροών μυστικών σε δημόσια αποθετήρια. Το GitHub αναφέρει ότι εντόπισε πάνω από 1 εκατομμύριο τέτοιες διαρροές μόνο τις πρώτες οκτώ εβδομάδες του 2024.
Η τυχαία έκθεση ευαίσθητων πληροφοριών μπορεί να έχει σοβαρές συνέπειες. Αυτή η νέα δυνατότητα στοχεύει στον μετριασμό αυτού του κινδύνου και στη βελτίωση της συνολικής ασφάλειας εντός της κοινότητας προγραμματιστών.
Πώς λειτουργεί το χαρακτηριστικό;
Τα δημόσια αποθετήρια κώδικα στο GitHub θα υποβάλλονται πλέον σε αυτόματη σάρωση προκαθορισμένα «μυστικά» κατά τη διαδικασία ώθησης. Εάν εντοπιστεί πιθανή διαρροή, ο προγραμματιστής θα ειδοποιηθεί και θα του προσφέρονται δύο επιλογές: αφαίρεση του μυστικού ή παράκαμψη του αποκλεισμού (αν και αυτή η επιλογή δεν συνιστάται). Η διάθεση αυτής της λειτουργίας ενδέχεται να διαρκέσει έως και μία εβδομάδα για να φτάσει σε όλους τους χρήστες, οι οποίοι μπορούν επίσης να επιλέξουν να την ενεργοποιήσουν νωρίς στις ρυθμίσεις ασφαλείας τους.
Έχει πολλά οφέλη για τους προγραμματιστές. Βοηθά στη μείωση του κινδύνου διαρροών μέσω αυτόματης σάρωσης για μυστικά, γεγονός που μπορεί να αποτρέψει την τυχαία έκθεση ευαίσθητων πληροφοριών. Επιπλέον, αυτή η δυνατότητα μπορεί να συμβάλει σε ένα πιο ασφαλές περιβάλλον ανάπτυξης για μεμονωμένους προγραμματιστές και την κοινότητα ανοιχτού κώδικα, βελτιώνοντας έτσι τη συνολική στάση ασφαλείας.
Ενώ η προστασία ώθησης είναι τώρα ενεργοποιημένο από προεπιλογή, Οι προγραμματιστές μπορούν να παρακάμψουν το μπλοκ κατά περίπτωση. Δεν συνιστάται η πλήρης απενεργοποίηση της λειτουργίας.
Για οργανισμούς που διαχειρίζονται ιδιωτικά αποθετήρια, η εγγραφή στο πρόγραμμα Προηγμένης Ασφάλειας του GitHub προσφέρει πρόσθετες δυνατότητες ασφαλείας πέρα από τη μυστική σάρωση, όπως σάρωση κώδικα και προτάσεις κώδικα που υποστηρίζονται από AI.
Περισσότερα εδώ.
