GitHub внедряет поддержку бесплатного сканирования открытых секретов, таких как учётные данные и токены аутентификации, во всех общедоступных репозиториях.
Ранее этот параметр безопасности включали для дополнительного сканирования, чтобы обнаружить случайное раскрытие известных типов секретов. Оно работает путём сопоставления шаблонов, предоставленных партнёрами, поставщиками услуг или организациями. О каждом совпадении сообщается на вкладке «Безопасность» репозитория. Служба секретного сканирования была доступна только организациям, использующим GitHub Enterprise Cloud с лицензией GitHub Advanced Security.
GitHub сканирует репозитории на наличие более 200 форматов токенов (включая ключи API, токены аутентификации, токены доступа, сертификаты управления, учётные данные, закрытые и секретные ключи и многое другое).
Только с начала этого года платформа выпустила более 1,7 млн предупреждений о потенциальных секретах, раскрытых в общедоступных репозиториях.
Теперь представители GitHub заявили, что начинают постепенное общедоступное развёртывание сканирования всех общедоступных репозиториев в бета-режиме. Эта функция станет общедоступной к концу января 2023 года.
GitHub будет автоматически уведомлять разработчиков об утечке секретов в коде, что позволит организациям легко отслеживать оповещения, идентифицировать источник утечки и быстро принимать меры для предотвращения мошеннического использования этой информации.
Чтобы включить оповещения о секретном сканировании, требуется:
перейти на главную страницу репозитория;
нажать кнопку «Настройки»;
в разделе «Безопасность» на боковой панели выбрать «Безопасность и анализ кода»;
в нижней части страницы нажать «Включить» для сканирования секретов.
В апреле GitHub расширил возможности сканирования секретов для клиентов GitHub Advanced Security, чтобы автоматически блокировать такую информацию и предотвращать случайное раскрытие.
Также платформа объявила, что к концу 2023 года потребует от всех пользователей, добавляющих код на платформу, включить двухфакторную аутентификацию в качестве дополнительной меры защиты своих учётных записей.
