GitHub сканує коди на наявність конфіденційної інформації перед завантаженням, щоб виявити потенційні витоки

Головна » Новини

Значок часу читання 2 хв. читати

Піктограма календаря Опубліковано

by Девеш Бері 

опубліковано на

Поділитися цією статтею

Читачі допомагають підтримувати MSpoweruser. Ми можемо отримати комісію, якщо ви купуєте через наші посилання. Значок підказки

Прочитайте нашу сторінку розкриття інформації, щоб дізнатися, як ви можете допомогти MSPoweruser підтримувати редакційну команду Читати далі

Основні нотатки

  • GitHub автоматично сканує відкритий код на наявність секретних витоків (ключі API, токени).
  • Надсилання до загальнодоступних сховищ, що містять секрети, буде заблоковано з можливістю виправити або обійти.
  • Мета: зменшити випадкові витоки та покращити безпеку розробників.
  • Увімкнення за замовчуванням, доступний обхід і розширений захист для приватних репо.
Файли cookie Microsoft GitHub

GitHub, який нещодавно запустив 20 доларів на місяць Copilot Enterprise, анонсувала нову функцію безпеки для загальнодоступних сховищ. Відразу ж GitHub почне автоматично сканувати код на предмет конфіденційної інформації, такої як ключі API та токени, перед її завантаженням. Якщо буде виявлено потенційний витік, поштовх буде заблоковано.

Ця зміна стала відповіддю на тривожну тенденцію випадкових витоків секретів у публічних сховищах. GitHub повідомляє, що лише за перші вісім тижнів 1 року виявлено понад 2024 мільйон таких витоків.

Випадкове розкриття конфіденційної інформації може мати серйозні наслідки. Ця нова функція має на меті зменшити цей ризик і підвищити загальну безпеку в спільноті розробників.

Як функція працює?

Загальнодоступні сховища коду на GitHub тепер проходитимуть автоматичне сканування заздалегідь визначені «секрети» під час процесу натискання. Якщо буде виявлено потенційний витік, розробник отримає сповіщення та запропонує два варіанти: видалити секрет або обійти блокування (хоча цей варіант не рекомендується). Розгортання цієї функції може тривати до тижня, щоб вона охопила всіх користувачів, які також можуть увімкнути її раніше в налаштуваннях безпеки.

Це має кілька переваг для розробників. Це допомагає зменшити ризик витоку, автоматично скануючи секрети, що може запобігти випадковому розкриттю конфіденційної інформації. Крім того, ця функція може сприяти створенню безпечнішого середовища розробки для окремих розробників і спільноти з відкритим кодом, таким чином покращуючи загальну безпеку.

Поки захист від натискання зараз увімкнено за замовчуванням, розробники можуть обійти блокування в кожному окремому випадку. Повністю відключати цю функцію не рекомендується.

Для організацій, які керують приватними сховищами, підписка на план GitHub Advanced Security пропонує додаткові функції безпеки, окрім таємного сканування, наприклад сканування коду та підказки коду на основі AI.

більше тут.

Детальніше про теми: Github

Девеш Бері

Девеш Бері Щит

Технічний журналіст

Це речі, які мене мотивують: створення інформативного та корисного контенту, захоплення мотоспортом і музикою, участь в експедиціях, підтримання здорового способу життя та проведення часу з моїм чарівним котом Тако.

залишити коментар

Ваша електронна адреса не буде опублікований. Обов'язкові поля позначені * *