GitHub е внедрил възможността за проактивно блокиране на изтичане на токени към API

GitHub обяви, че е подобрил защитата срещу чувствителни данни, които неволно са оставени в кода от разработчиците, за да не влязат в неговите хранилища. Например, случва се конфигурационни файлове с пароли за СУБД, токени или ключове за достъп до API да попаднат в хранилището. Преди това сканирането се извършваше в пасивен режим и позволяваше да се идентифицират течове, които вече са възникнали и са включени в хранилището. За да предотврати изтичане на информация, GitHub допълнително започна да предоставя опция за автоматично блокиране на ангажименти, които съдържат чувствителни данни.

Проверката се извършва по време на git push и води до генериране на предупреждение за сигурност, ако в кода бъдат открити токени за свързване към стандартни API. Внедрени са общо 69 шаблона за идентифициране на различни типове ключове, токени, сертификати и идентификационни данни. За да се елиминират фалшивите положителни резултати, се проверяват само гарантираните типове токени. След блокиране разработчикът е помолен да прегледа проблемния код, да поправи изтичането и да извърши повторно или да маркира блокирането като невярно.

Опцията за проактивно блокиране на течове в момента е достъпна само за организации, които имат достъп до услугата GitHub Advanced Security. Сканирането в пасивен режим е безплатно за всички публични хранилища, но остава платено за частни хранилища. Съобщава се, че пасивното сканиране вече е идентифицирало повече от 700 хиляди течове на поверителни данни в частни хранилища.

Източник: opennet.ru