GitHub untuk memindai kode informasi sensitif sebelum diunggah untuk mendeteksi potensi kebocoran

Beranda » Berita

Ikon waktu membaca 2 menit Baca

Ikon kalender Ditampilkan di

by Devesh Beri 

Diterbitkan di

Bagikan artikel ini

Pembaca membantu dukungan MSpoweruser. Kami mungkin mendapat komisi jika Anda membeli melalui tautan kami. Ikon Keterangan Alat

Baca halaman pengungkapan kami untuk mengetahui bagaimana Anda dapat membantu MSPoweruser mempertahankan tim editorial Baca lebih lanjut

Catatan kunci

  • GitHub secara otomatis memindai kode publik untuk mencari kebocoran rahasia (kunci API, token).
  • Push ke repositori publik yang berisi rahasia akan diblokir, dengan opsi untuk memperbaiki atau melewati.
  • Bertujuan untuk mengurangi kebocoran yang tidak disengaja dan meningkatkan postur keamanan pengembang.
  • Keikutsertaan default, dengan bypass dan perlindungan lanjutan untuk repositori pribadi tersedia.
Cookie Microsoft GitHub

GitHub, yang baru-baru ini meluncurkan Perusahaan Kopilot $20/bulan, telah mengumumkan fitur keamanan baru untuk repositori publik. Berlaku segera, GitHub akan mulai memindai kode secara otomatis untuk mencari informasi sensitif, seperti kunci dan token API, sebelum diunggah. Jika potensi kebocoran terdeteksi, dorongan akan diblokir.

Perubahan ini terjadi sebagai respons terhadap tren kebocoran rahasia yang tidak disengaja di repositori publik. Laporan GitHub mengidentifikasi lebih dari 1 juta kebocoran serupa dalam delapan minggu pertama tahun 2024 saja.

Pemaparan informasi sensitif yang tidak disengaja dapat menimbulkan konsekuensi serius. Fitur baru ini bertujuan untuk memitigasi risiko ini dan meningkatkan keamanan keseluruhan dalam komunitas pengembang.

Bagaimana cara kerja fitur tersebut?

Repositori kode publik di GitHub sekarang akan menjalani pemindaian otomatis “rahasia” yang telah ditentukan sebelumnya selama proses dorong. Jika potensi kebocoran teridentifikasi, pengembang akan diberitahu dan ditawarkan dua opsi: menghapus rahasia atau melewati pemblokiran (meskipun opsi ini tidak disarankan). Peluncuran fitur ini mungkin memerlukan waktu hingga seminggu untuk menjangkau semua pengguna, yang juga dapat memilih untuk mengaktifkannya lebih awal dalam pengaturan keamanan mereka.

Ini memiliki beberapa manfaat bagi pengembang. Ini membantu mengurangi risiko kebocoran dengan memindai rahasia secara otomatis, yang dapat mencegah pengungkapan informasi sensitif secara tidak sengaja. Selain itu, fitur ini dapat berkontribusi pada lingkungan pengembangan yang lebih aman bagi pengembang individu dan komunitas sumber terbuka, sehingga meningkatkan postur keamanan secara keseluruhan.

Sedangkan proteksi push sekarang diaktifkan secara default, pengembang dapat melewati pemblokiran berdasarkan kasus per kasus. Menonaktifkan fitur sepenuhnya tidak disarankan.

Untuk organisasi yang mengelola repositori pribadi, berlangganan paket Keamanan Tingkat Lanjut GitHub menawarkan fitur keamanan tambahan selain pemindaian rahasia, seperti pemindaian kode dan saran kode yang didukung AI.

More di sini.

Lebih lanjut tentang topik: Github

Devesh Beri

Devesh Beri Melindungi

Jurnalis Teknologi

Inilah hal-hal yang memotivasi saya - membuat konten yang informatif dan bermanfaat, mengejar minat saya terhadap olahraga motor dan musik, terlibat dalam ekspedisi, menjaga gaya hidup sehat, dan menghabiskan waktu bersama kucing kesayangan saya, Taco.