GitHub tarkistaa arkaluontoisten tietojen koodit ennen lataamista mahdollisten vuotojen havaitsemiseksi
2 min. lukea
Julkaistu
Jaa tämä artikkeli
Paranna tätä ohjetta
Lue ilmoitussivumme saadaksesi selville, kuinka voit auttaa MSPoweruseria ylläpitämään toimitustiimiä Lue lisää
Keskeiset huomautukset
- GitHub tarkistaa automaattisesti julkisen koodin salaisten vuotojen varalta (API-avaimet, tunnukset).
- Push to public repos, jotka sisältävät salaisuuksia, estetään, ja vaihtoehtoja on korjata tai ohittaa.
- Tavoitteena on vähentää vahingossa tapahtuvia vuotoja ja parantaa kehittäjien turva-asentoa.
- Oletusvalinta, jossa on ohitus ja lisäsuojaus yksityisille repoille.
GitHub, joka lanseerasi äskettäin 20 dollaria/kk Copilot Enterprise, on julkistanut uuden suojausominaisuuden julkisille tietovarastoille. GitHub alkaa automaattisesti skannata koodia arkaluontoisten tietojen, kuten API-avaimien ja tunnuksien, varalta, ennen kuin se ladataan. Jos mahdollinen vuoto havaitaan, työntö estetään.
Tämä muutos tulee vastauksena huolestuttavaan trendiin vahingossa tapahtuvista salavuotoista julkisissa arkistoissa. GitHub raportoi tunnistaneensa yli miljoona tällaista vuotoa pelkästään vuoden 1 kahdeksan ensimmäisen viikon aikana.
Arkaluontoisten tietojen tahattomalla paljastamisella voi olla vakavia seurauksia. Tämän uuden ominaisuuden tarkoituksena on pienentää tätä riskiä ja parantaa yleistä turvallisuutta kehittäjäyhteisössä.
Kuinka ominaisuus toimii?
GitHubin julkiset koodivarastot tarkistetaan nyt automaattisesti ennalta määritellyt "salaisuudet" työntöprosessin aikana. Jos mahdollinen vuoto havaitaan, kehittäjälle ilmoitetaan ja hänelle tarjotaan kaksi vaihtoehtoa: poistaa salaisuus tai ohittaa esto (vaikka tätä vaihtoehtoa ei suositella). Tämän ominaisuuden käyttöönotto voi kestää jopa viikon, ennen kuin kaikki käyttäjät tavoittavat. He voivat myös ottaa sen käyttöön varhaisessa vaiheessa suojausasetuksissaan.
Sillä on useita etuja kehittäjille. Se auttaa vähentämään vuotojen riskiä etsimällä automaattisesti salaisuuksia, mikä voi estää arkaluonteisten tietojen vahingossa paljastumisen. Lisäksi tämä ominaisuus voi edistää turvallisempaa kehitysympäristöä yksittäisille kehittäjille ja avoimen lähdekoodin yhteisölle, mikä parantaa yleistä tietoturva-asentoa.
Vaikka työntösuoja on nyt oletuksena käytössä, kehittäjät voivat ohittaa lohkon tapauskohtaisesti. Ominaisuuden poistamista kokonaan käytöstä ei suositella.
Yksityisiä tietovarastoja hallinnoiville organisaatioille GitHub Advanced Security -suunnitelman tilaaminen tarjoaa salaisen skannauksen lisäksi muita suojausominaisuuksia, kuten koodin skannauksen ja tekoälyllä toimivat koodiehdotukset.
Lisää: tätä.
