GitHub za skeniranje kod za občutljive informacije pred nalaganjem za odkrivanje morebitnih uhajanj

GitHub, ki je pred kratkim lansiral 20 USD/mesec Copilot Enterprise, je napovedal novo varnostno funkcijo za javne repozitorije. Takoj začne GitHub samodejno skenirati kodo za občutljive informacije, kot so ključi API in žetoni, preden se naložijo. Če je zaznano morebitno puščanje, bo potiskanje blokirano.

Ta sprememba je odgovor na zaskrbljujoč trend naključnega odtekanja skrivnosti v javnih skladiščih. GitHub poroča, da je samo v prvih osmih tednih leta 1 odkril več kot milijon takih uhajanj.

Nenamerno izpostavljanje občutljivih informacij ima lahko resne posledice. Namen te nove funkcije je ublažiti to tveganje in izboljšati splošno varnost v skupnosti razvijalcev.

Kako deluje funkcija?

Javna skladišča kod na GitHubu bodo zdaj podvržena samodejnemu skeniranju vnaprej določene "skrivnosti" med postopkom potiskanja. Če se odkrije morebitno uhajanje, bo razvijalec obveščen in ponujeni dve možnosti: odstraniti skrivnost ali zaobiti blokado (čeprav ta možnost ni priporočljiva). Uvedba te funkcije lahko traja do en teden, da doseže vse uporabnike, ki se lahko tudi odločijo, da jo omogočijo zgodaj v svojih varnostnih nastavitvah.

Za razvijalce ima več prednosti. Pomaga zmanjšati tveganje uhajanja s samodejnim iskanjem skrivnosti, kar lahko prepreči nenamerno razkritje občutljivih informacij. Poleg tega lahko ta funkcija prispeva k varnejšemu razvojnemu okolju za posamezne razvijalce in odprtokodno skupnost ter tako izboljša splošno varnostno stanje.

Medtem ko je potisna zaščita zdaj privzeto omogočeno, razvijalci lahko zaobidejo blokado od primera do primera. Popolnoma onemogočanje funkcije ni priporočljivo.

Za organizacije, ki upravljajo zasebne repozitorije, naročanje na GitHub Advanced Security načrt ponuja dodatne varnostne funkcije poleg tajnega skeniranja, kot je skeniranje kode in predlogi kode, ki jih poganja AI.

Več tukaj.