GitHub теперь может автоматически блокировать коммиты, содержащие ключи API и токены аутентификации. Платформа объявила о расширении возможностей Advanced Security, чтобы автоматически блокировать утечки.
Сканирование секретов — это дополнительный параметр безопасности, который организации, использующие GitHub Enterprise Cloud с лицензией GitHub Advanced Security, могут включить для дополнительной защиты репозитория.
Оно работает путем сопоставления шаблонов, определенных организацией или предоставленных партнерами и поставщиками услуг. Каждое совпадение отображается в виде предупреждения безопасности на вкладке «Безопасность» репозитория или партнера, если оно соответствует его шаблону.
Новая функция, известная как защита от принудительной отправки, предназначена для предотвращения случайного раскрытия учетных данных перед фиксацией кода в удаленных репозиториях. Она включает сканирование в рабочий процесс разработчиков и работает с 69 типами токенов (ключи API, токены аутентификации, токены доступа, сертификаты управления, учетные данные, закрытые ключи, секретные ключи и т. д.).
«Благодаря защите от push-уведомлений GitHub будет проверять секреты с высокой степенью достоверности по мере того, как разработчики будут отправлять код, и блокировать отправку, если они будут идентифицированы», — говорится в сообщении GitHub. Там отмечают, что защита от push-уведомлений поддерживает только те типы токенов, которые могут быть «точно обнаружены».
Если GitHub Enterprise Cloud идентифицирует личные данные перед отправкой кода, git push блокируется, чтобы разработчики могли просмотреть и удалить их из кода, который они пытались отправить в репозитории.
Разработчики также могут помечать эти предупреждения системы безопасности как ложные срабатывания, тестовые случаи или для последующего исправления.
Организации с GitHub Advanced Security могут включить функцию защиты от принудительного сканирования секретных данных как на уровне репозитория, так и на уровне организации через API или в пользовательском интерфейсе.
Для защиты от push-уведомлений нужно:
на GitHub.com перейти на главную страницу организации,
выбрать «Настройки»,
в разделе «Безопасность» на боковой панели кликнуть «Безопасность и анализ кода»,
в разделе найти «Расширенная безопасность GitHub»,
в разделе «Сканирование секретов» во вкладке «Защита от рассылки» нажать «Включить все»,
при необходимости выбрать «Автоматически включать для частных репозиториев, добавленных к сканированию секретов».
Также функцию можно включить для отдельных репозиториев в окне «Настройки репозитория»> «Безопасность и анализ»> «Дополнительная безопасность GitHub».
«На сегодняшний день GitHub обнаружил более 700 000 секретов в тысячах частных репозиториев, используя сканирование для GitHub Advanced Security; GitHub также сканирует шаблоны наших партнеров во всех общедоступных репозиториях (бесплатно)», — заключает платформа.
Ранее GitHub в сотрудничестве с Open Source Security Foundation представила релиз Scorecard V4 OpenSSF's. Это автоматический инструмент безопасности, который находит уязвимости в open-source проектах. GitHub Action и starter workflow добавили в пользовательский интерфейс и Marketplace. Scorecard Action автоматически запускается при каждом изменении в репозитории и оповещает разработчиков о проблемах в безопасности, используя внутренний сканер кода. Результаты автоматически отправляются в API предупреждений о сканировании кода GitHub и отображаются на вкладке безопасности.
