GitHub по умолчанию включает защиту от принудительного сканирования при секретном сканировании.

В ответ на тревожную тенденцию непреднамеренного раскрытия ключей API, токенов и других конфиденциальных данных GitHub предпринял дальнейшие шаги по защите своей платформы от потенциальных взломов.

За первые два месяца 2024 года GitHub обнаружил один миллион утекших секретов в публичные репозитории, что составляет в среднем более дюжины инцидентов в минуту. Такие тревожные цифры подчеркивают острую необходимость в надежных мерах защиты пользователей и их данных.

С августа прошлого года GitHub предлагает пользователям возможность подписаться на защиту от принудительного сканирования при секретном сканировании — функцию, предназначенную для автоматического перехвата и блокировки коммитов при обнаружении конфиденциальной информации. Опираясь на эту инициативу, GitHub теперь сделал защиту секретного сканирования обязательной для всех отправок в публичные репозитории.

Недавнее внедрение push-защиты знаменует собой значительный шаг на пути к укреплению безопасности обширной базы пользователей GitHub. В рамках этой новой структуры пользователям будет предоставлена ​​возможность либо удалить обнаруженный секрет из своих коммитов, либо, если это будет сочтено безопасным, обойти блокировку. Хотя переход на этот расширенный протокол безопасности может занять неделю или две, чтобы его можно было применить повсеместно, пользователи могут заранее проверить статус и заранее согласиться на него через настройки безопасности и анализа кода.

Признавая потенциальные последствия утечки секретов, GitHub подчеркивает важность защиты не только частных, но и публичных репозиториев, которые являются неотъемлемой частью сообщества открытого исходного кода. Поскольку более 95 процентов push-уведомлений в частные репозитории уже сканируются клиентами GitHub Advanced Security, распространение защиты push-уведомлений на общедоступные репозитории отражает стремление поддерживать целостность и безопасность всей экосистемы GitHub.

Несмотря на реализацию push-защиты, GitHub подтверждает автономию пользователей в управлении своими настройками безопасности. Хотя по умолчанию включена защита от push-уведомлений, пользователи сохраняют возможность обойти блокировку или полностью отключить защиту от push-уведомлений с помощью настроек безопасности пользователя. Однако GitHub настоятельно не рекомендует полностью отключать защиту от push-уведомлений — вместо этого выступает за разумный подход, при котором исключения делаются в каждом конкретном случае.

Для организаций, использующих план GitHub Enterprise, доступны дополнительные функции безопасности, включая GitHub Advanced Security, для защиты частных репозиториев от потенциальных взломов. Это комплексное решение платформы DevSecOps включает в себя секретное сканирование, сканирование кода, предложения автоматического исправления кода на основе искусственного интеллекта и другие функции статической безопасности приложений (SAST).

Технология секретного сканирования GitHub охватывает более 200 типов и шаблонов токенов от более чем 180 поставщиков услуг; может похвастаться лучшей в отрасли точностью и минимизацией ложных срабатываний. Используя коллективные усилия сообщества, GitHub стремится предотвратить непреднамеренное раскрытие конфиденциальной информации в публичных репозиториях.

Ранее на этой неделе исследование Apiiro обнаружило, что более 100 000 репозиториев на GitHub заражены вредоносным кодом. Платформа борется с продолжающейся атакой «замешательства в репозиториях», когда тысячи репозиториев, заполненных запутанным вредоносным ПО, нацелены на платформу.

Эти атаки являются частью более крупной кампании по распространению вредоносного ПО, напоминающей тактику, раскрытую Phylum в прошлом году. Кампания опирается на обманные пакеты Python, размещенные в клонированных репозиториях, для распространения вредоносной полезной нагрузки, известной как BlackCap Grabber.

(Фото Кристины Флур на Unsplash)

Смотрите также: Пакеты Python, обнаруженные при использовании неопубликованной загрузки DLL для обхода безопасности

Хотите узнать больше о кибербезопасности и облаке от лидеров отрасли? Посетите выставку Cyber ​​Security & Cloud Expo, которая проходит в Амстердаме, Калифорнии и Лондоне. Это комплексное мероприятие проводится совместно с другими ведущими мероприятиями, включая BlockX, Неделю цифровой трансформации, IoT Tech Expo и AI & Big Data Expo.

Кроме того, предстоящая конференция по облачной трансформации — это бесплатное виртуальное мероприятие для лидеров бизнеса и технологий, на котором они смогут изучить развивающуюся среду облачной трансформации. Забронируйте бесплатный виртуальный билет, чтобы изучить практические аспекты и возможности внедрения облака.

Узнайте о других предстоящих мероприятиях и вебинарах в области корпоративных технологий, организованных TechForge. здесь.