GitHub för att skanna koder för känslig information före uppladdning för att upptäcka potentiella läckor
2 min. läsa
Publicerad den
Dela den här artikeln
Förbättra den här guiden
Läs vår informationssida för att ta reda på hur du kan hjälpa MSPoweruser upprätthålla redaktionen Läs mer
Viktiga anteckningar
- GitHub skannar automatiskt offentlig kod efter hemliga läckor (API-nycklar, tokens).
- Push till offentliga repos som innehåller hemligheter kommer att blockeras, med alternativ att fixa eller kringgå.
- Syftar till att minska oavsiktliga läckor och förbättra utvecklarens säkerhetsställning.
- Standardopt-in, med bypass och avancerat skydd för privata repos tillgängliga.
GitHub, som nyligen lanserade $20/månad Copilot Enterprise, har meddelat en ny säkerhetsfunktion för offentliga arkiv. Med omedelbar verkan kommer GitHub att börja automatiskt skanna kod efter känslig information, såsom API-nycklar och tokens, innan den laddas upp. Om ett potentiellt läckage upptäcks kommer trycket att blockeras.
Denna förändring kommer som svar på en oroande trend med oavsiktliga hemliga läckor i offentliga förvar. GitHub rapporterar identifiera över 1 miljon sådana läckor bara under de första åtta veckorna av 2024.
Oavsiktlig exponering av känslig information kan få allvarliga konsekvenser. Den här nya funktionen syftar till att minska denna risk och förbättra den övergripande säkerheten inom utvecklargemenskapen.
Hur fungerar funktionen?
Offentliga kodlager på GitHub kommer nu att genomgå automatisk skanning efter fördefinierade "hemligheter" under push-processen. Om en potentiell läcka identifieras kommer utvecklaren att meddelas och erbjudas två alternativ: ta bort hemligheten eller kringgå blockeringen (även om det här alternativet inte rekommenderas). Lanseringen av den här funktionen kan ta upp till en vecka för att nå alla användare, som också kan välja att aktivera den tidigt inom sina säkerhetsinställningar.
Det har flera fördelar för utvecklare. Det hjälper till att minska risken för läckor genom att automatiskt skanna efter hemligheter, vilket kan förhindra oavsiktlig exponering av känslig information. Dessutom kan den här funktionen bidra till en säkrare utvecklingsmiljö för enskilda utvecklare och communityn med öppen källkod, och på så sätt förbättra den övergripande säkerhetsställningen.
Medan tryckskydd är nu aktiverad som standard, utvecklare kan kringgå blockeringen från fall till fall. Att inaktivera funktionen helt rekommenderas inte.
För organisationer som hanterar privata arkiv, prenumererar du på GitHub Advanced Security-planen erbjuder ytterligare säkerhetsfunktioner utöver hemlig skanning, såsom kodskanning och AI-drivna kodförslag.
Snarare här..
