GitHub открыл доступ к сервису для проверки безопасности репозиториев

07.03.2023      17827

Бесплатный сервис GitHub для проверки безопасности репозиториев позволяет защитить публичные проекты от утечки конфиденциальных данных. Ранее эта услуга была доступна только владельцам лицензии на GitHub Advanced Security, работающие в облаке GitHub Enterprise Cloud.

Функционал сервиса

Система анализа публичных репозиториев проверяет код на наличие в нем секретных ключей, паролей и токенов доступа к API, которые могут оказаться в свободном доступе. Сервис GitHub осуществляет поиск по более чем 200 шаблонам, описывающим различные типы конфиденциальных данных. При этом совпадения будут обнаруживаться не только в коде проекта, но и в сведениях об ошибках, описании и комментариях.

Кроме того, сервис поддерживает отправку предупреждений при нахождении самоподписанных сертификатов и ключей.

Чтобы подключить проверку к своему публичному репозиторию, владельцу или администратору следует активировать функцию Secret scanning в разделе Code security and analysis на GitHub. Количество проектов, для которых можно активировать услугу, неограниченно. 

Эффективность на практике

По данным GitHub, после запуска бета-версии сервиса для мониторинга конфиденциальных данных были проверены около 70 тыс. публичных репозиториев. В одном случае разработчик протестировал систему на 14 тыс. своих проектов и обнаружил более тысячи проблем с безопасностью. Всего за 2022 год ИТ-хостинг зафиксировал наличие 1,7 млн конфиденциальных сведений в открытом коде, загруженном на платформу. 

 

Принцип работы системы

 

Чтобы не допускать ложные срабатывания, сервис GitHub проверяет только гарантированно определяемые типы токенов. Они охватывают более 100 различных площадок, в числе которых Amazon Web Services, Azure, Crates.io, DigitalOcean, Google Cloud, NPM, PyPI, RubyGems и Yandex.Cloud.

В GitHub уточнили, что продолжат уведомлять крупные ИТ-платформы об утечках токенов в рамках партнерской программы. Новый сервис, в свою очередь, охватывает гораздо большее число инцидентов, включая те, о которых уведомить партнера невозможно (например, если утекли самоподписанные ключи). Также пользователю доступен полный журнал аудита действий, предпринятых во время выявления проблемы. 

Ранее GitHub сообщил, что с марта 2023 года начнет обязательное подключение двухфакторной аутентификации для всех пользователей.


Автор:
Аналитик


См. также

Новость ИТ-Новость

Минцифры подготовило проект постановления по запуску платформы, на которой ИТ-специалисты могут пройти добровольное тестирование и подтвердить свою квалификацию.

сегодня в 12:02    93    user1915669    1       

1

Новость ИТ-Новость ФНС ЭДО

Федеральная налоговая служба запустила интерактивный сервис, позволяющий формировать в машиночитаемом виде договоры, контракты, соглашения и спецификации. Чтобы создать документ и скачать получившийся файл, регистрация не требуется.

03.12.2024    472    user2114475    0       

2

Новость ИТ-Новость

Российский Альянс по искусственному интеллекту обновил требования к специалистам по ИИ: вышла новая модель с основными профессиями и навыками. Теперь базовых профессий в сфере ИИ осталось только четыре.

01.11.2024    760    user1915669    0       

3

Новость ИТ-Новость

Система платежей «Волна» по планам сделает возможной бесконтактную оплату для владельцев IPhone в России, а BRICS Pay позволит совершать безналичные расчеты иностранцам по картам Visa и Mastercard.

23.10.2024    985    AnastasiaKl    0       

4

Новость ИТ-компания ИТ-Новость

Конструктор сайтов Wix уходит из России с 12 сентября 2024 года – перестанут работать все российский аккаунты. Сайты, привязанные к аккаунтам, также перестанут работать.

11.09.2024    995    user1915669    2       

2

Новость Искусственный интеллект ИТ-Новость

ИИ научат разработке цифровых интегральных микросхем – несколько российских научных институтов заявили об участии в проекте. Проект рассчитан на 3 года – с 2024 по 2026.

23.07.2024    637    user1915669    0       

2

Новость Дата-центры Искусственный интеллект ИТ-Новость

Развитие искусственного интеллекта и цифровых сервисов в России стало причиной роста потребности в мощных центрах обработки данных. Эксперты прогнозируют, что дефицит ЦОД, который уже наблюдается сегодня, в ближайшие годы будет только усиливаться.

18.07.2024    779    AnastasiaKl    0       

1

Новость ИТ-Новость

В сентябре 2024 года видеоигры в России начнут маркировать – пока на добровольной основе. Геймерам будут сообщать о семи видах чувствительного (неприятного) контента в игре.

17.07.2024    832    user1915669    0       

1
Комментарии
Подписаться на ответы Инфостарт бот Сортировка: Древо развёрнутое
Свернуть все
1. apic 13 09.03.23 09:56 Сейчас в теме
Эта безопасность нужна в первую очередь самой MS, что бы все исходники Гита доставались только ей, насрать ей на пользователей. MS еще существует только потому что сама пользует чужие исходники с Гита. Классно когда весь мир пишет за тебя все что нужно, а ты только причесываешь под себя и выпускаешь очередной Windos
Оставьте свое сообщение