GitHub hat einen verbesserten Schutz gegen vertrauliche Daten angekündigt, die von Entwicklern versehentlich im Code hinterlassen und in Repositories gelangen. Beispielsweise kommt es vor, dass Konfigurationsdateien mit DBMS-Passwörtern, Token oder API-Zugriffsschlüsseln in das Repository gelangen. Zuvor erfolgte der Scan im passiven Modus und ermöglichte die Identifizierung bereits aufgetretener und in das Repository gelangter Lecks. Um Lecks vorzubeugen, bietet GitHub zusätzlich eine Option zum automatischen Blockieren von Commits mit vertraulichen Daten an.
Die Prüfung wird während des Git-Pushs durchgeführt und generiert eine Sicherheitswarnung, wenn im Code Token für die Verbindung mit typischen APIs erkannt werden. Insgesamt wurden 69 Vorlagen implementiert, um verschiedene Arten von Schlüsseln, Token, Zertifikaten und Anmeldeinformationen zu erkennen. Um Fehlalarme auszuschließen, werden nur Tokentypen geprüft, deren Erkennung garantiert ist. Nach der Blockierung wird der Entwickler aufgefordert, den problematischen Code zu überprüfen, das Leck zu beheben und den Block erneut zu committen oder als falsch zu markieren.
Die Möglichkeit, Datenlecks zu verhindern, steht derzeit nur Organisationen mit Zugriff auf den GitHub Advanced Security-Dienst zur Verfügung. Passives Scannen ist für alle öffentlichen Repositories kostenlos, für private Repositories jedoch weiterhin kostenpflichtig. Berichten zufolge wurden durch passives Scannen bereits über 700 Datenlecks vertraulicher Daten in privaten Repositories entdeckt.
Source: opennet.ru
