GitHub har introducerat en ny skanningsfunktion för att skydda utvecklare från oavsiktliga hemliga läckor.
Den 4 april sa det Microsoft-ägda kodförrådet att GitHub Advanced Security-sviten nu har uppgraderats med en ny push-skyddsfunktion för att förhindra läckage av hemligheter som kan äventyra organisationsägda projekt.
GitHub Advanced Security är en licensierad företagsprodukt inklusive kodskanning, attackskydd för leveranskedjan och Dependabot-varningar.
Den nya funktionen är en valfri kontroll för utvecklare att använda under sina arbetsflöden innan en git-push accepteras. Från och med nu kommer skanningen endast att kontrollera efter “mycket identifierbara mönster” av potentiella läckor baserat på samarbetet mellan GitHub och partnerorganisationer, inklusive utgivare av token.
Det finns totalt 69 mönster som verktyget kommer att leta efter som potentiella indikatorer på hemliga läckor. Dessutom kontrolleras över 100 olika tokentyper.
Dessa inkluderar de som utfärdats av Alibaba Cloud, Amazon, AWS, Azure, npm, Slack och Stripe.
GitHub säger att över 700 000 hemligheter över tusentals privata arkiv har upptäckts hittills.
Om tryckskydd är aktiverat kommer en skanning att kontrollera om det finns läckagemönster med hög tillförsikt. Om ett mönster flaggas upp blockeras pushen. Enligt företaget har det funnits en låg falsk positiv frekvens under testning.
“Om en hemlighet identifieras kan utvecklare granska och ta bort hemligheterna från sin kod innan de trycker igen,” förklarade GitHub. “I sällsynta fall där omedelbar åtgärd inte är meningsfull kan utvecklare gå vidare genom att lösa hemligheten som ett falskt positivt, testfall eller en riktig instans att åtgärda senare.”
Öppna säkerhetsvarningsfall genereras automatiskt om instanser väljs som problem som ska lösas efter en push.
Den nya funktionen kan aktiveras i svitens användargränssnitt eller via API:et.
“Genom att skanna efter mycket identifierbara hemligheter innan de begås kan vi tillsammans flytta säkerheten till att vara proaktiv istället för reaktiv och förhindra att hemligheter läcker ut helt och hållet”, kommenterade GitHub.
Tidigare och relaterad täckning
Har du ett tips? Kom i kontakt säkert via WhatsApp | Signalera på +447713 025 499, eller över på Keybase: charlie0
