A GitHub feltöltés előtt érzékeny információk után kutat kódokat, hogy észlelje a lehetséges szivárgásokat

Főoldal » Hírek

Olvasási idő ikonra 2 perc olvas

Naptár ikonra Publikálva

by Devesh Beri 

közzétették

Ossza meg ezt a cikket

Az olvasók segítenek az MSpoweruser támogatásában. Kaphatunk jutalékot, ha a linkjeinken keresztül vásárol. Eszköztipp ikon

Olvassa el közzétételi oldalunkat, hogy megtudja, hogyan segítheti az MSPowerusert a szerkesztői csapat fenntartásában Tovább

Főbb megjegyzések

  • A GitHub automatikusan ellenőrzi a nyilvános kódot titkos szivárgásokért (API-kulcsok, tokenek).
  • A titkokat tartalmazó nyilvános adattárak leküldése blokkolva lesz, és lehetőség nyílik a javításra vagy az áthidalásra.
  • Célja a véletlen szivárgások csökkentése és a fejlesztők biztonsági helyzetének javítása.
  • Alapértelmezett feliratkozás, megkerüléssel és fejlett védelemmel a privát repókhoz.
Microsoft GitHub cookie-k

A GitHub, amely nemrégiben indította el a 20 USD/hó Copilot Enterprise, bejelentette a nyilvános adattárak új biztonsági funkcióját. Azonnali érvényű, a GitHub automatikusan elkezdi beolvasni a kódot érzékeny információk, például API-kulcsok és tokenek után, mielőtt feltöltené. Ha potenciális szivárgást észlel, a nyomás blokkolva lesz.

Ez a változás a nyilvános adattárakba való véletlenszerű titkos szivárgások aggasztó tendenciájára adott válasz. A GitHub jelentése szerint csak 1 első nyolc hetében több mint 2024 millió ilyen szivárgást azonosított.

Az érzékeny információk véletlenszerű nyilvánosságra hozatala súlyos következményekkel járhat. Ennek az új funkciónak az a célja, hogy csökkentse ezt a kockázatot, és javítsa az általános biztonságot a fejlesztői közösségen belül.

Hogyan működik a funkció?

A GitHubon található nyilvános kódtárak ezentúl automatikus ellenőrzésen esnek át előre meghatározott "titkok" a push folyamat során. Ha potenciális szivárgást észlel, a fejlesztő értesítést kap, és két lehetőséget kínál fel: távolítsa el a titkot, vagy megkerülje a blokkot (bár ez a lehetőség nem ajánlott). Ennek a funkciónak a bevezetése akár egy hétig is eltarthat, amíg minden felhasználóhoz eljut, és a biztonsági beállításaikon belül korábban is engedélyezhetik.

Számos előnnyel jár a fejlesztők számára. Segít csökkenteni a szivárgások kockázatát azáltal, hogy automatikusan keresi a titkokat, ami megakadályozhatja az érzékeny információk véletlenszerű megjelenését. Ezenkívül ez a funkció hozzájárulhat az egyes fejlesztők és a nyílt forráskódú közösség biztonságosabb fejlesztői környezetéhez, ezáltal javítva az általános biztonsági helyzetet.

Míg a push védelem most alapértelmezés szerint engedélyezve, a fejlesztők eseti alapon megkerülhetik a blokkot. A funkció teljes letiltása nem javasolt.

A privát adattárakat kezelő szervezetek számára a GitHub Advanced Security csomagra való előfizetés a titkos szkennelésen túl további biztonsági funkciókat is kínál, mint például a kódellenőrzés és az AI-alapú kódjavaslatok.

Több itt.

Devesh Beri

Devesh Beri Shield

Műszaki újságíró

Ezek azok a dolgok, amelyek motiválnak – informatív és hasznos tartalmak létrehozása, motorsport és zene iránti szenvedélyem gyakorlása, expedíciók részvétele, egészséges életmód fenntartása, és az imádnivaló Tacó macskámmal való időtöltés.

Felhasználói fórum

0 üzenetek