A GitHub feltöltés előtt érzékeny információk után kutat kódokat, hogy észlelje a lehetséges szivárgásokat
2 perc olvas
Publikálva
Ossza meg ezt a cikket
Javítsa ezt az útmutatót
Olvassa el közzétételi oldalunkat, hogy megtudja, hogyan segítheti az MSPowerusert a szerkesztői csapat fenntartásában Tovább
Főbb megjegyzések
- A GitHub automatikusan ellenőrzi a nyilvános kódot titkos szivárgásokért (API-kulcsok, tokenek).
- A titkokat tartalmazó nyilvános adattárak leküldése blokkolva lesz, és lehetőség nyílik a javításra vagy az áthidalásra.
- Célja a véletlen szivárgások csökkentése és a fejlesztők biztonsági helyzetének javítása.
- Alapértelmezett feliratkozás, megkerüléssel és fejlett védelemmel a privát repókhoz.
A GitHub, amely nemrégiben indította el a 20 USD/hó Copilot Enterprise, bejelentette a nyilvános adattárak új biztonsági funkcióját. Azonnali érvényű, a GitHub automatikusan elkezdi beolvasni a kódot érzékeny információk, például API-kulcsok és tokenek után, mielőtt feltöltené. Ha potenciális szivárgást észlel, a nyomás blokkolva lesz.
Ez a változás a nyilvános adattárakba való véletlenszerű titkos szivárgások aggasztó tendenciájára adott válasz. A GitHub jelentése szerint csak 1 első nyolc hetében több mint 2024 millió ilyen szivárgást azonosított.
Az érzékeny információk véletlenszerű nyilvánosságra hozatala súlyos következményekkel járhat. Ennek az új funkciónak az a célja, hogy csökkentse ezt a kockázatot, és javítsa az általános biztonságot a fejlesztői közösségen belül.
Hogyan működik a funkció?
A GitHubon található nyilvános kódtárak ezentúl automatikus ellenőrzésen esnek át előre meghatározott "titkok" a push folyamat során. Ha potenciális szivárgást észlel, a fejlesztő értesítést kap, és két lehetőséget kínál fel: távolítsa el a titkot, vagy megkerülje a blokkot (bár ez a lehetőség nem ajánlott). Ennek a funkciónak a bevezetése akár egy hétig is eltarthat, amíg minden felhasználóhoz eljut, és a biztonsági beállításaikon belül korábban is engedélyezhetik.
Számos előnnyel jár a fejlesztők számára. Segít csökkenteni a szivárgások kockázatát azáltal, hogy automatikusan keresi a titkokat, ami megakadályozhatja az érzékeny információk véletlenszerű megjelenését. Ezenkívül ez a funkció hozzájárulhat az egyes fejlesztők és a nyílt forráskódú közösség biztonságosabb fejlesztői környezetéhez, ezáltal javítva az általános biztonsági helyzetet.
Míg a push védelem most alapértelmezés szerint engedélyezve, a fejlesztők eseti alapon megkerülhetik a blokkot. A funkció teljes letiltása nem javasolt.
A privát adattárakat kezelő szervezetek számára a GitHub Advanced Security csomagra való előfizetés a titkos szkennelésen túl további biztonsági funkciókat is kínál, mint például a kódellenőrzés és az AI-alapú kódjavaslatok.
Több itt.
