GitHub para verificar códigos em busca de informações confidenciais antes do upload para detectar possíveis vazamentos

Início » Novidades

Ícone de tempo de leitura 2 minutos. ler

Ícone do calendário Publicado em

by Devesh Beri 

publicado em

Compartilhe este artigo

Os leitores ajudam a oferecer suporte ao MSpoweruser. Podemos receber uma comissão se você comprar através de nossos links. Ícone de dica de ferramenta

Leia nossa página de divulgação para descobrir como você pode ajudar o MSPoweruser a sustentar a equipe editorial Saiba mais

Notas chave

  • O GitHub verifica automaticamente o código público em busca de vazamentos secretos (chaves de API, tokens).
  • Enviar para repositórios públicos contendo segredos será bloqueado, com opções para corrigir ou ignorar.
  • Visa reduzir vazamentos acidentais e melhorar a postura de segurança do desenvolvedor.
  • Opção padrão, com bypass e proteção avançada para repositórios privados disponíveis.
Cookies do Microsoft GitHub

GitHub, que lançou recentemente o US$ 20/mês Copilot Enterprise, anunciou um novo recurso de segurança para repositórios públicos. Com efeito imediato, o GitHub começará a verificar automaticamente o código em busca de informações confidenciais, como chaves de API e tokens, antes de ser carregado. Se um vazamento potencial for detectado, o push será bloqueado.

Esta mudança vem em resposta a uma tendência preocupante de vazamentos acidentais de segredos em repositórios públicos. Relatórios do GitHub identificam mais de 1 milhão desses vazamentos somente nas primeiras oito semanas de 2024.

A exposição acidental de informações sensíveis pode ter consequências graves. Este novo recurso visa mitigar esse risco e melhorar a segurança geral da comunidade de desenvolvedores.

Como funciona o recurso?

Os repositórios de código público no GitHub agora passarão por verificação automática de “segredos” pré-definidos durante o processo de envio. Se um possível vazamento for identificado, o desenvolvedor será notificado e terá duas opções: remover o segredo ou ignorar o bloqueio (embora esta opção não seja recomendada). A implementação deste recurso pode levar até uma semana para chegar a todos os usuários, que também podem optar por habilitá-lo antecipadamente em suas configurações de segurança.

Tem vários benefícios para os desenvolvedores. Ajuda a reduzir o risco de vazamentos, verificando automaticamente segredos, o que pode evitar a exposição acidental de informações confidenciais. Além disso, esse recurso pode contribuir para um ambiente de desenvolvimento mais seguro para desenvolvedores individuais e para a comunidade de código aberto, melhorando assim a postura geral de segurança.

Embora a proteção contra push seja agora habilitado por padrão, os desenvolvedores podem contornar o bloqueio caso a caso. Desativar totalmente o recurso não é recomendado.

Para organizações que gerenciam repositórios privados, a assinatura do plano GitHub Advanced Security oferece recursos de segurança adicionais além da verificação secreta, como verificação de código e sugestões de código com tecnologia de IA.

Mais SUA PARTICIPAÇÃO FAZ A DIFERENÇA.

Mais sobre os tópicos: Github

Devesh Beri

Devesh Beri Proteger

Jornalista de Tecnologia

Estas são as coisas que me motivam - criar conteúdo informativo e útil, perseguir a minha paixão pelos desportos motorizados e pela música, participar em expedições, manter um estilo de vida saudável e passar tempo com o meu adorável gato Taco.