ИТ-хостинг запустил систему сканирования общедоступных репозиториев, чтобы предотвратить случайное раскрытие конфиденциальной информации, такой как учетные данные и токены аутентификации.
Возможности технологии
Система GitHub способна обнаруживать в репозиториях более 200 форматов токенов: ключи API, токены аутентификации и доступа, сертификаты управления, учетные данные, закрытые и секретные ключи, а также многое другое. С начала года ИТ-хостинг направил около 1,7 млн предупреждений о потенциальных проблемах безопасности в общедоступных проектах.
Сейчас команда GitHub начала постепенное развертывание сканирования для всех публичных репозиториев. Система пока работает в бета-режиме. Функция станет доступна всем пользователям ИТ-хостинга до конца января 2023 года.
Площадка будет автоматически уведомлять разработчиков об утечке секретных ключей в коде. Организации смогут отслеживать оповещения, оперативно находить источник угрозы и быстро принимать меры для предотвращения мошеннического использования этой информации.
Ранее сканирование было доступно лишь как дополнительная функция обнаружения случайного раскрытия известных типов ключей и токенов. Технология работает благодаря сопоставлению шаблонов, предоставленных партнерами, поставщиками услуг или организациями. Информация о совпадения отображается на вкладке «Безопасность» ИТ-хостинга.
Как воспользоваться
Для того, чтобы подключиться к системе сканирования и получать уведомления о проблемах с безопасностью, нужно:
- перейти на главную страницу репозитория;
- нажать кнопку «Настройки»;
- в разделе «Безопасность» на боковой панели выбрать «Безопасность и анализ кода»;
- в нижней части страницы нажать «Включить».
Нововведения в безопасности
В апреле 2022 года платформа расширила возможности сканера для корпоративных клиентов – они могут автоматически блокировать секретные сведения и предотвращать случайное раскрытие конфиденциальных данных.
Еще одно нововведение, касающиеся безопасности GitHub – поэтапное внедрение двухфакторной аутентификации для всех пользователей. Полностью завершить переход репозиторий намерен к концу 2023 года. Учетные записи, не подключившие 2FA, не смогут использовать возможности сервиса.