GitHub теперь автоматически блокирует утечку конфиденциальной информации, такой как ключи API и токены доступа для всех общедоступных репозиториев кода. Эта функция заблаговременно предотвращает утечки путём сканирования секретов до того, как будут приняты операции «git push», и работает с 69 типами токенов (ключи API, закрытые ключи, секретные ключи, токены аутентификации, токены доступа, сертификаты управления, учётные данные и т. д.).
«Если вы отправляете секрет, появится подсказка защиты от отправки с информацией о его типе, местонахождении и о том, как предотвратить раскрытие», — отметили в GitHub.
Как пояснили представители платформы, защита блокирует только секреты с низким уровнем ложных срабатываний.
По данным GitHub, с момента запуска бета-версии такой защиты разработчики успешно предотвратили около 17 тысяч случайных раскрытий конфиденциальной информации, сэкономив более 95 тысяч часов работы.
Хотя до сегодняшнего дня эта функция работала только для частных репозиториев организациями с лицензией GitHub Advanced Security, теперь она стала общедоступной и активируется бесплатно.
Организации с GitHub Advanced Security могут включить функцию защиты от принудительного сканирования секретных данных как на уровне репозитория, так и на уровне организации через API или в пользовательском интерфейсе.
Как включить защиту от скрытого сканирования:
перейти на GitHub.com на главную страницу организации;
под её названием выбрать «Настройки»;
в разделе «Безопасность» боковой панели кликнуть «Безопасность и анализ кода»;
найти «Расширенная безопасность GitHub»;
в разделе «Сканирование секретов» нажать «Включить все» рядом с «Защита от рассылки»;
при необходимости нажать «Автоматически включать для частных репозиториев, добавленных к сканированию секретов».
Функцию можно включить и для отдельных репозиториев, активировав её в диалоговом окне «Настройки» > «Безопасность и анализ» > «Дополнительная безопасность GitHub».
Дополнительные сведения об использовании функции доступны на сайте документации GitHub.
В декабре GitHub анонсировал внедрение поддержки бесплатного сканирования открытых секретов, таких как учётные данные и токены аутентификации, во всех общедоступных репозиториях.
Также платформа объявила, что к концу 2023 года потребует от всех пользователей, добавляющих код на платформу, включить двухфакторную аутентификацию в качестве дополнительной меры защиты своих учётных записей. С марта требование применяется для отдельных групп пользователей, в том числе для разработчиков, публикующих пакеты, OAuth-приложения и GitHub-обработчики, формирующих релизы, участвующих в разработке критически важных для экосистем npm проектов, OpenSSF, PyPI и RubyGems, а также работающих над четырьмя миллионами самых популярных репозиториев.
Источник новости: habr.com
