GitHub for å skanne koder for sensitiv informasjon før opplasting for å oppdage potensielle lekkasjer
2 min. lese
Publisert på
Del denne artikkelen
Forbedre denne veiledningen
Les vår avsløringsside for å finne ut hvordan du kan hjelpe MSPoweruser opprettholde redaksjonen Les mer
Viktige merknader
- GitHub skanner automatisk offentlig kode for hemmelige lekkasjer (API-nøkler, tokens).
- Push til offentlige reposer som inneholder hemmeligheter vil bli blokkert, med alternativer for å fikse eller omgå.
- Tar sikte på å redusere utilsiktede lekkasjer og forbedre utviklerens sikkerhetsstilling.
- Standard opt-in, med bypass og avansert beskyttelse for private repos tilgjengelig.
GitHub, som nylig lanserte $20/måned Copilot Enterprise, har annonsert en ny sikkerhetsfunksjon for offentlige depoter. Med øyeblikkelig virkning vil GitHub begynne automatisk å skanne kode for sensitiv informasjon, for eksempel API-nøkler og tokens, før den lastes opp. Hvis det oppdages en potensiell lekkasje, vil trykket bli blokkert.
Denne endringen kommer som svar på en bekymringsfull trend med utilsiktede hemmelige lekkasjer i offentlige depoter. GitHub rapporterer å identifisere over 1 million slike lekkasjer i løpet av de første åtte ukene av 2024 alene.
Utilsiktet eksponering av sensitiv informasjon kan få alvorlige konsekvenser. Denne nye funksjonen tar sikte på å redusere denne risikoen og forbedre den generelle sikkerheten i utviklerfellesskapet.
Hvordan fungerer funksjonen?
Offentlige kodelagre på GitHub vil nå gjennomgå automatisk skanning etter forhåndsdefinerte "hemmeligheter" under push-prosessen. Hvis en potensiell lekkasje blir identifisert, vil utvikleren bli varslet og tilbys to alternativer: fjerne hemmeligheten eller omgå blokkeringen (selv om dette alternativet ikke anbefales). Utrullingen av denne funksjonen kan ta opptil en uke å nå alle brukere, som også kan velge å aktivere den tidlig innenfor sikkerhetsinnstillingene.
Det har flere fordeler for utviklere. Det bidrar til å redusere risikoen for lekkasjer ved automatisk å skanne etter hemmeligheter, noe som kan forhindre utilsiktet eksponering av sensitiv informasjon. I tillegg kan denne funksjonen bidra til et sikrere utviklingsmiljø for individuelle utviklere og åpen kildekode-fellesskapet, og dermed forbedre den generelle sikkerhetsstillingen.
Mens skyvebeskyttelse er nå aktivert som standard, utviklere kan omgå blokkeringen fra sak til sak. Det anbefales ikke å deaktivere funksjonen helt.
For organisasjoner som administrerer private depoter, tilbyr det å abonnere på GitHub Advanced Security-planen ytterligere sikkerhetsfunksjoner utover hemmelig skanning, for eksempel kodeskanning og AI-drevne kodeforslag.
Mer her..
