GitHub לסרוק קודים לאיתור מידע רגיש לפני העלאה כדי לזהות דליפות פוטנציאליות

GitHub, שהשיקה לאחרונה את 20 $ לחודש Copilot Enterprise, הכריזה על תכונת אבטחה חדשה עבור מאגרים ציבוריים. בתוקף מיידי, GitHub יתחיל לסרוק אוטומטית קוד לאיתור מידע רגיש, כגון מפתחות API ואסימונים, לפני העלאתו. אם מתגלה דליפה פוטנציאלית, הדחיפה תיחסם.

שינוי זה בא בתגובה למגמה מדאיגה של דליפות סודיות מקריות במאגרים ציבוריים. GitHub מדווח על זיהוי של יותר ממיליון דליפות כאלה בשמונה השבועות הראשונים של 1 בלבד.

לחשיפה מקרית של מידע רגיש עלולה להיות השלכות חמורות. תכונה חדשה זו נועדה לצמצם את הסיכון הזה ולשפר את האבטחה הכוללת בתוך קהילת המפתחים.

כיצד פועלת התכונה?

מאגרי קוד ציבורי ב- GitHub יעברו כעת סריקה אוטומטית עבור "סודות" מוגדרים מראש במהלך תהליך הדחיפה. אם מזוהה דליפה פוטנציאלית, היזם יקבל הודעה ויציעו לו שתי אפשרויות: להסיר את הסוד או לעקוף את החסימה (אם כי אפשרות זו אינה מומלצת). ההשקה של תכונה זו עשויה להימשך עד שבוע כדי להגיע לכל המשתמשים, אשר יכולים גם לבחור להפעיל אותה בשלב מוקדם בהגדרות האבטחה שלהם.

יש לזה כמה יתרונות למפתחים. זה עוזר להפחית את הסיכון לדליפות על ידי סריקה אוטומטית לאיתור סודות, מה שיכול למנוע חשיפה מקרית של מידע רגיש. בנוסף, תכונה זו יכולה לתרום לסביבת פיתוח מאובטחת יותר עבור מפתחים בודדים וקהילת הקוד הפתוח, ובכך לשפר את עמדת האבטחה הכוללת.

בעוד הגנת דחיפה היא עכשיו מופעל כברירת מחדל, מפתחים יכולים לעקוף את החסימה על בסיס כל מקרה לגופו. השבתת התכונה לחלוטין אינה מומלצת.

עבור ארגונים המנהלים מאגרים פרטיים, הרשמה לתוכנית GitHub Advanced Security מציעה תכונות אבטחה נוספות מעבר לסריקה סודית, כגון סריקת קוד והצעות קוד מבוססות בינה מלאכותית.

עוד כאן.