GitHub na skenovanie citlivých informácií v kódoch pred nahraním s cieľom zistiť potenciálne úniky

GitHub, ktorý nedávno spustil 20 USD/mesiac Copilot Enterprise, oznámila nový bezpečnostný prvok pre verejné úložiská. S okamžitou platnosťou začne GitHub pred nahraním automaticky skenovať kód na citlivé informácie, ako sú kľúče API a tokeny. Ak sa zistí potenciálny únik, stlačenie sa zablokuje.

Táto zmena je reakciou na znepokojivý trend náhodných tajných únikov vo verejných úložiskách. GitHub uvádza, že len za prvých osem týždňov roku 1 identifikuje viac ako 2024 milión takýchto únikov.

Náhodné vystavenie citlivých informácií môže mať vážne následky. Táto nová funkcia má za cieľ zmierniť toto riziko a zlepšiť celkovú bezpečnosť v rámci komunity vývojárov.

Ako funkcia funguje?

Úložiská verejných kódov na GitHub teraz prejdú automatickým skenovaním vopred definované „tajomstvá“ počas procesu tlače. Ak je identifikovaný potenciálny únik, vývojár bude upozornený a ponúkne mu dve možnosti: odstrániť tajomstvo alebo obísť blok (aj keď táto možnosť sa neodporúča). Zavedenie tejto funkcie môže trvať až týždeň, kým sa dostane ku všetkým používateľom, ktorí si ju môžu povoliť aj včas v rámci svojich nastavení zabezpečenia.

Pre vývojárov má niekoľko výhod. Pomáha znižovať riziko úniku automatickým skenovaním tajomstiev, čo môže zabrániť náhodnému odhaleniu citlivých informácií. Okrem toho môže táto funkcia prispieť k bezpečnejšiemu vývojovému prostrediu pre jednotlivých vývojárov a komunitu s otvoreným zdrojom, čím sa zlepší celkový stav zabezpečenia.

Zatiaľ čo ochrana proti zatlačeniu je teraz predvolene povolené, vývojári môžu blok od prípadu k prípadu obísť. Úplné vypnutie funkcie sa neodporúča.

Pre organizácie spravujúce súkromné ​​repozitáre ponúka predplatenie plánu GitHub Advanced Security ďalšie bezpečnostné funkcie nad rámec tajného skenovania, ako je skenovanie kódu a návrhy kódov poháňané AI.

viac tu.