GitHub hat den Schutz gegen die unbeabsichtigte Veröffentlichung sensibler Daten in Repositories verstärkt, die von Entwicklern im Code hinterlassen wurden. Es kommt vor, dass Konfigurationsdateien mit Passwörtern zu Datenbanken, Tokens oder Zugangsschlüsseln zu APIs in das Repository gelangen. Zuvor erfolgte die Überprüfung im passiven Modus und konnte bereits eingetretene Leaks im Repository identifizieren. Um Lecks zu verhindern, bietet GitHub jetzt zusätzlich die Möglichkeit an, Commits automatisch zu blockieren, in denen vertrauliche Daten erkannt werden.
Die Überprüfung erfolgt beim Ausführen von git push und erzeugt eine Sicherheitswarnung, falls im Code Tokens für typische APIs gefunden werden. Insgesamt wurden 69 Vorlagen zur Erkennung verschiedener Arten von Schlüsseln, Tokens, Zertifikaten und Anmeldeinformationen implementiert. Um Fehlalarme zu vermeiden, werden nur sicher identifizierbare Token-Typen überprüft. Nach der Blockierung wird der Entwickler aufgefordert, den problematischen Code zu überprüfen, das Leak zu beheben und den Commit zu wiederholen oder die Blockierung als falsch zu kennzeichnen.
Die Option zur präventiven Blockierung vonLeaks ist derzeit nur für Organisationen verfügbar, die Zugang zum "GitHub Advanced Security"-Service haben. Das passive Scannen erfolgt kostenlos für alle öffentlichen Repositories, bleibt jedoch kostenpflichtig für private Repositories. Es wird berichtet, dass das passive Scannen bereits über 700.000 Leakage vertraulicher Daten in privaten Repositories aufgedeckt hat.
Quelle: opennet.ru
