GitHub para verificar códigos em busca de informações confidenciais antes do upload para detectar possíveis vazamentos
2 minutos. ler
Publicado em
Leia nossa página de divulgação para descobrir como você pode ajudar o MSPoweruser a sustentar a equipe editorial Saiba mais
Notas chave
- O GitHub verifica automaticamente o código público em busca de vazamentos secretos (chaves de API, tokens).
- Enviar para repositórios públicos contendo segredos será bloqueado, com opções para corrigir ou ignorar.
- Visa reduzir vazamentos acidentais e melhorar a postura de segurança do desenvolvedor.
- Opção padrão, com bypass e proteção avançada para repositórios privados disponíveis.
GitHub, que lançou recentemente o US$ 20/mês Copilot Enterprise, anunciou um novo recurso de segurança para repositórios públicos. Com efeito imediato, o GitHub começará a verificar automaticamente o código em busca de informações confidenciais, como chaves de API e tokens, antes de ser carregado. Se um vazamento potencial for detectado, o push será bloqueado.
Esta mudança vem em resposta a uma tendência preocupante de vazamentos acidentais de segredos em repositórios públicos. Relatórios do GitHub identificam mais de 1 milhão desses vazamentos somente nas primeiras oito semanas de 2024.
A exposição acidental de informações sensíveis pode ter consequências graves. Este novo recurso visa mitigar esse risco e melhorar a segurança geral da comunidade de desenvolvedores.
Como funciona o recurso?
Os repositórios de código público no GitHub agora passarão por verificação automática de “segredos” pré-definidos durante o processo de envio. Se um possível vazamento for identificado, o desenvolvedor será notificado e terá duas opções: remover o segredo ou ignorar o bloqueio (embora esta opção não seja recomendada). A implementação deste recurso pode levar até uma semana para chegar a todos os usuários, que também podem optar por habilitá-lo antecipadamente em suas configurações de segurança.
Tem vários benefícios para os desenvolvedores. Ajuda a reduzir o risco de vazamentos, verificando automaticamente segredos, o que pode evitar a exposição acidental de informações confidenciais. Além disso, esse recurso pode contribuir para um ambiente de desenvolvimento mais seguro para desenvolvedores individuais e para a comunidade de código aberto, melhorando assim a postura geral de segurança.
Embora a proteção contra push seja agora habilitado por padrão, os desenvolvedores podem contornar o bloqueio caso a caso. Desativar totalmente o recurso não é recomendado.
Para organizações que gerenciam repositórios privados, a assinatura do plano GitHub Advanced Security oferece recursos de segurança adicionais além da verificação secreta, como verificação de código e sugestões de código com tecnologia de IA.