GitHub pour scanner les codes à la recherche d'informations sensibles avant le téléchargement afin de détecter les fuites potentielles
2 minute. lis
Publié le
Partagez cet article
Améliorer ce guide
Lisez notre page de divulgation pour savoir comment vous pouvez aider MSPoweruser à soutenir l'équipe éditoriale En savoir plus
Notes clés
- GitHub analyse automatiquement le code public à la recherche de fuites secrètes (clés API, jetons).
- Les dépôts publics contenant des secrets seront bloqués, avec des options de correction ou de contournement.
- Vise à réduire les fuites accidentelles et à améliorer la posture de sécurité des développeurs.
- Opt-in par défaut, avec contournement et protection avancée pour les dépôts privés disponibles.
GitHub, qui a récemment lancé le 20 $/mois Copilot Entreprise, a annoncé une nouvelle fonctionnalité de sécurité pour les référentiels publics. À compter d'aujourd'hui, GitHub commencera automatiquement à analyser le code à la recherche d'informations sensibles, telles que les clés API et les jetons, avant son téléchargement. Si une fuite potentielle est détectée, le poussoir sera bloqué.
Ce changement intervient en réponse à une tendance inquiétante de fuites secrètes accidentelles dans les référentiels publics. GitHub rapporte avoir identifié plus d’un million de fuites de ce type au cours des seules huit premières semaines de 1.
L’exposition accidentelle d’informations sensibles peut avoir de graves conséquences. Cette nouvelle fonctionnalité vise à atténuer ce risque et à améliorer la sécurité globale au sein de la communauté des développeurs.
Comment fonctionne la fonctionnalité?
Les référentiels de code publics sur GitHub seront désormais soumis à une analyse automatique pour « secrets » prédéfinis pendant le processus de poussée. Si une fuite potentielle est identifiée, le développeur sera informé et lui proposera deux options : supprimer le secret ou contourner le blocage (bien que cette option ne soit pas recommandée). Le déploiement de cette fonctionnalité peut prendre jusqu'à une semaine pour atteindre tous les utilisateurs, qui peuvent également choisir de l'activer plus tôt dans leurs paramètres de sécurité.
Cela présente plusieurs avantages pour les développeurs. Il contribue à réduire le risque de fuite en recherchant automatiquement les secrets, ce qui peut empêcher l'exposition accidentelle d'informations sensibles. De plus, cette fonctionnalité peut contribuer à un environnement de développement plus sécurisé pour les développeurs individuels et la communauté open source, améliorant ainsi la sécurité globale.
Alors que la protection contre la poussée est maintenant activé par défaut, les développeurs peuvent contourner le blocage au cas par cas. La désactivation complète de la fonctionnalité n’est pas recommandée.
Pour les organisations gérant des référentiels privés, l'abonnement au plan GitHub Advanced Security offre des fonctionnalités de sécurité supplémentaires au-delà de l'analyse secrète, telles que l'analyse de code et les suggestions de code basées sur l'IA.
Plus ici.
