GitHub za skeniranje kodova u potrazi za osjetljivim informacijama prije učitavanja radi otkrivanja potencijalnih curenja
2 min. čitati
Objavljeno na
Podijelite ovaj članak
Poboljšajte ovaj vodič
Pročitajte našu stranicu za otkrivanje kako biste saznali kako možete pomoći MSPoweruseru da održi urednički tim Čitaj više
Ključne napomene
- GitHub automatski skenira javni kod u potrazi za tajnim curenjem (API ključevi, tokeni).
- Push na javna spremišta koja sadrže tajne bit će blokirana, s opcijama za popravak ili zaobilaženje.
- Cilj je smanjiti slučajno curenje i poboljšati sigurnosno stanje programera.
- Zadana mogućnost uključivanja, uz zaobilaženje i naprednu zaštitu za privatne repozitorije.
GitHub, koji je nedavno pokrenuo 20 USD mjesečno Copilot Enterprise, najavio je novu sigurnosnu značajku za javna spremišta. Odmah stupa na snagu, GitHub će početi automatski skenirati kod u potrazi za osjetljivim informacijama, kao što su API ključevi i tokeni, prije nego što se učitaju. Ako se otkrije potencijalno curenje, guranje će se blokirati.
Ova promjena dolazi kao odgovor na zabrinjavajući trend slučajnog curenja tajni u javnim spremištima. GitHub izvještava o identificiranju više od milijun takvih curenja samo u prvih osam tjedana 1.
Slučajno izlaganje osjetljivih informacija može imati ozbiljne posljedice. Ova nova značajka ima za cilj ublažiti ovaj rizik i poboljšati ukupnu sigurnost unutar zajednice programera.
Kako značajka radi?
Javna spremišta kodova na GitHubu sada će biti podvrgnuta automatskom skeniranju unaprijed definirane "tajne" tijekom procesa guranja. Ako se identificira potencijalno curenje, razvojni programer će biti obaviješten i ponudit će mu se dvije opcije: ukloniti tajnu ili zaobići blokadu (iako se ova opcija ne preporučuje). Uvođenje ove značajke može potrajati i do tjedan dana dok ne dođe do svih korisnika, koji također mogu izabrati da je rano omoguće unutar svojih sigurnosnih postavki.
Ima nekoliko prednosti za programere. Pomaže smanjiti rizik od curenja automatskim traženjem tajni, što može spriječiti slučajno izlaganje osjetljivih informacija. Osim toga, ova značajka može doprinijeti sigurnijem razvojnom okruženju za pojedinačne programere i zajednicu otvorenog koda, čime se poboljšava cjelokupno sigurnosno stanje.
Dok je push zaštita sada omogućeno prema zadanim postavkama, programeri mogu zaobići blokadu od slučaja do slučaja. Ne preporučuje se potpuno onemogućavanje značajke.
Za organizacije koje upravljaju privatnim spremištima, pretplata na plan GitHub Advanced Security nudi dodatne sigurnosne značajke osim tajnog skeniranja, kao što je skeniranje koda i prijedlozi kodova koje pokreće AI.
more ovdje.
