GitHub сканирует коды на наличие конфиденциальной информации перед загрузкой, чтобы обнаружить потенциальные утечки

Главная » Новости

Значок времени чтения 2 минута. читать

Значок календаря Опубликовано

by Девеш Бери 

Опубликован в

Поделиться этой статьей

Читатели помогают поддержать MSpoweruser. Мы можем получить комиссию, если вы совершите покупку по нашим ссылкам. Значок подсказки

Прочтите нашу страницу раскрытия информации, чтобы узнать, как вы можете помочь MSPoweruser поддержать редакционную команду. Читать далее

Ключевые заметки

  • GitHub автоматически сканирует публичный код на наличие утечек секретов (ключи API, токены).
  • Публикация общедоступных репозиториев, содержащих секреты, будет заблокирована с возможностью исправления или обхода.
  • Целью является уменьшение случайных утечек и улучшение безопасности разработчиков.
  • Согласие по умолчанию, с возможностью обхода и расширенной защиты для частных репозиториев.
Файлы cookie Microsoft GitHub

GitHub, который недавно запустил 20 долларов США в месяц, объявила о новой функции безопасности для публичных репозиториев. Начиная с этого момента, GitHub начнет автоматически сканировать код на наличие конфиденциальной информации, такой как ключи API и токены, перед его загрузкой. При обнаружении потенциальной утечки толчок будет заблокирован.

Это изменение является ответом на тревожную тенденцию случайных утечек секретных данных в публичных репозиториях. GitHub сообщает, что только за первые восемь недель 1 года было выявлено более 2024 миллиона таких утечек.

Случайное раскрытие конфиденциальной информации может иметь серьезные последствия. Эта новая функция призвана снизить этот риск и повысить общую безопасность сообщества разработчиков.

Как работает эта функция?

Репозитории общедоступного кода на GitHub теперь будут подвергаться автоматическому сканированию на наличие заранее определенные «секреты» во время процесса нажатия. Если будет обнаружена потенциальная утечка, разработчик будет уведомлен и предложен два варианта: удалить секрет или обойти блокировку (хотя этот вариант не рекомендуется). Внедрение этой функции может занять до недели, чтобы охватить всех пользователей, которые также могут включить ее на ранней стадии в своих настройках безопасности.

Он имеет ряд преимуществ для разработчиков. Это помогает снизить риск утечек за счет автоматического сканирования секретов, что может предотвратить случайное раскрытие конфиденциальной информации. Кроме того, эта функция может способствовать созданию более безопасной среды разработки для отдельных разработчиков и сообщества разработчиков ПО с открытым исходным кодом, тем самым улучшая общее состояние безопасности.

Хотя защита от push теперь включено по умолчанию, разработчики могут обойти блокировку в каждом конкретном случае. Полностью отключать эту функцию не рекомендуется.

Для организаций, управляющих частными репозиториями, подписка на план GitHub Advanced Security предлагает дополнительные функции безопасности, помимо секретного сканирования, такие как сканирование кода и предложения кода на основе искусственного интеллекта.

Больше здесь.

Подробнее о темах: Github

Девеш Бери

Девеш Бери Щит

Технический журналист

Это то, что меня мотивирует: создавать информативный и полезный контент, заниматься своей страстью к автоспорту и музыке, участвовать в экспедициях, вести здоровый образ жизни и проводить время с моим очаровательным котом Тако.

Оставьте комментарий

Ваш электронный адрес не будет опубликован. Обязательные поля помечены * *