GitHub quét mã để tìm thông tin nhạy cảm trước khi tải lên nhằm phát hiện các rò rỉ tiềm ẩn

Trang Chủ » Tin tức

Biểu tượng thời gian đọc 2 phút đọc

Biểu tượng lịch Được đăng trên

by Devesh Beri 

Được xuất bản trên

Chia sẻ bài báo này

Bạn đọc giúp đỡ ủng hộ MSpoweruser. Chúng tôi có thể nhận được hoa hồng nếu bạn mua thông qua các liên kết của chúng tôi. Biểu tượng chú giải công cụ

Đọc trang tiết lộ của chúng tôi để tìm hiểu cách bạn có thể giúp MSPoweruser duy trì nhóm biên tập Tìm hiểu thêm

Ghi chú chính

  • GitHub tự động quét mã công khai để tìm rò rỉ bí mật (khóa API, mã thông báo).
  • Việc đẩy tới các kho lưu trữ công khai chứa bí mật sẽ bị chặn, kèm theo các tùy chọn để sửa hoặc bỏ qua.
  • Nhằm mục đích giảm rò rỉ ngẫu nhiên và cải thiện tư thế bảo mật của nhà phát triển.
  • Chọn tham gia mặc định, có tính năng bỏ qua và bảo vệ nâng cao cho các kho lưu trữ riêng tư.
Cookie GitHub của Microsoft

GitHub, gần đây đã tung ra Doanh nghiệp phi công phụ $20/tháng, đã công bố một tính năng bảo mật mới cho các kho lưu trữ công cộng. Có hiệu lực ngay lập tức, GitHub sẽ bắt đầu tự động quét mã để tìm thông tin nhạy cảm, chẳng hạn như khóa API và mã thông báo, trước khi mã được tải lên. Nếu phát hiện rò rỉ tiềm ẩn, lực đẩy sẽ bị chặn.

Sự thay đổi này nhằm đáp ứng xu hướng đáng lo ngại về rò rỉ bí mật ngẫu nhiên trong các kho lưu trữ công cộng. GitHub báo cáo đã xác định được hơn 1 triệu vụ rò rỉ như vậy chỉ trong 2024 tuần đầu năm XNUMX.

Việc vô tình tiết lộ thông tin nhạy cảm có thể gây ra hậu quả nghiêm trọng. Tính năng mới này nhằm giảm thiểu rủi ro này và cải thiện tính bảo mật tổng thể trong cộng đồng nhà phát triển.

Tính năng hoạt động như thế nào?

Kho lưu trữ mã công khai trên GitHub giờ đây sẽ được quét tự động để tìm kiếm “bí mật” được xác định trước trong quá trình đẩy. Nếu xác định được một rò rỉ tiềm ẩn, nhà phát triển sẽ được thông báo và đưa ra hai tùy chọn: xóa bí mật hoặc bỏ qua khối (mặc dù tùy chọn này không được khuyến nghị). Quá trình triển khai tính năng này có thể mất tối đa một tuần để đến tay tất cả người dùng. Những người này cũng có thể chọn bật sớm tính năng này trong cài đặt bảo mật của mình.

Nó có một số lợi ích cho các nhà phát triển. Nó giúp giảm nguy cơ rò rỉ bằng cách tự động quét các bí mật, điều này có thể ngăn chặn việc vô tình làm lộ thông tin nhạy cảm. Ngoài ra, tính năng này có thể góp phần tạo ra môi trường phát triển an toàn hơn cho các nhà phát triển cá nhân và cộng đồng nguồn mở, từ đó cải thiện tình trạng bảo mật tổng thể.

Trong khi tính năng bảo vệ đẩy hiện nay được bật theo mặc định, các nhà phát triển có thể bỏ qua khối tùy từng trường hợp cụ thể. Việc tắt hoàn toàn tính năng này không được khuyến khích.

Đối với các tổ chức quản lý kho lưu trữ riêng tư, việc đăng ký gói Bảo mật nâng cao GitHub cung cấp các tính năng bảo mật bổ sung ngoài chức năng quét bí mật, chẳng hạn như quét mã và đề xuất mã do AI cung cấp.

Hơn tại đây.

Thông tin thêm về các chủ đề: Github

Devesh Beri

Devesh Beri Lá chắn

Nhà báo công nghệ

Đây là những điều thúc đẩy tôi - tạo ra nội dung giàu thông tin và hữu ích, theo đuổi niềm đam mê đua xe thể thao và âm nhạc, tham gia các cuộc thám hiểm, duy trì lối sống lành mạnh và dành thời gian với chú mèo Taco đáng yêu của tôi.