GitHub esegue la scansione dei codici per informazioni sensibili prima del caricamento per rilevare potenziali perdite

Casa » Notizie

Icona del tempo di lettura 2 minuto. leggere

Icona del calendario Edizione del

by Devesh Beri 

pubblicato su

Condividi questo articolo

I lettori aiutano a supportare MSpoweruser. Potremmo ricevere una commissione se acquisti tramite i nostri link. Icona descrizione comando

Leggi la nostra pagina informativa per scoprire come puoi aiutare MSPoweruser a sostenere il team editoriale Per saperne di più

Note chiave

  • GitHub scansiona automaticamente il codice pubblico alla ricerca di perdite segrete (chiavi API, token).
  • I repository push to pubblici contenenti segreti verranno bloccati, con opzioni per correggerli o ignorarli.
  • Mira a ridurre le perdite accidentali e a migliorare il livello di sicurezza degli sviluppatori.
  • Attivazione predefinita, con bypass e protezione avanzata disponibili per i repository privati.
Cookie di Microsoft GitHub

GitHub, che ha recentemente lanciato il $ 20 al mese Copilot Enterprise, ha annunciato una nuova funzionalità di sicurezza per i repository pubblici. Con effetto immediato, GitHub inizierà automaticamente la scansione del codice alla ricerca di informazioni sensibili, come chiavi API e token, prima che vengano caricate. Se viene rilevata una potenziale perdita, la spinta verrà bloccata.

Questo cambiamento arriva in risposta a una tendenza preoccupante di fughe di informazioni segrete accidentali negli archivi pubblici. GitHub riferisce di aver identificato oltre 1 milione di perdite di questo tipo solo nelle prime otto settimane del 2024.

L'esposizione accidentale di informazioni sensibili può avere gravi conseguenze. Questa nuova funzionalità mira a mitigare questo rischio e a migliorare la sicurezza generale all’interno della comunità degli sviluppatori.

Come funziona la funzione?

I repository di codice pubblico su GitHub verranno ora sottoposti a scansione automatica per “segreti” predefiniti durante il processo di spinta. Se viene identificata una potenziale perdita, lo sviluppatore verrà avvisato e gli verranno offerte due opzioni: rimuovere il segreto o ignorare il blocco (sebbene questa opzione non sia consigliata). L'implementazione di questa funzionalità potrebbe richiedere fino a una settimana per raggiungere tutti gli utenti, che possono anche scegliere di abilitarla in anticipo nelle proprie impostazioni di sicurezza.

Ha diversi vantaggi per gli sviluppatori. Aiuta a ridurre il rischio di fughe di informazioni eseguendo automaticamente la scansione dei segreti, che può impedire l'esposizione accidentale di informazioni sensibili. Inoltre, questa funzionalità può contribuire a creare un ambiente di sviluppo più sicuro per i singoli sviluppatori e la comunità open source, migliorando così il livello di sicurezza generale.

Mentre la protezione push è ora abilitato per impostazione predefinita, gli sviluppatori possono aggirare il blocco caso per caso. Non è consigliabile disabilitare completamente la funzionalità.

Per le organizzazioni che gestiscono repository privati, l'abbonamento al piano GitHub Advanced Security offre funzionalità di sicurezza aggiuntive oltre alla scansione segreta, come la scansione del codice e i suggerimenti di codice basati sull'intelligenza artificiale.

Più qui.

Maggiori informazioni sugli argomenti: Github

Devesh Beri

Devesh Beri Scudo

Giornalista tecnico

Queste sono le cose che mi motivano: creare contenuti informativi e utili, perseguire la mia passione per gli sport motoristici e la musica, partecipare a spedizioni, mantenere uno stile di vita sano e trascorrere del tempo con il mio adorabile gatto Taco.

Lascia un Commento

L'indirizzo email non verrà pubblicato. I campi obbligatori sono contrassegnati con *