GitHub anunció que ha reforzado la protección contra datos confidenciales que los desarrolladores dejaron inadvertidamente en el código para que no ingresen a sus repositorios. Por ejemplo, sucede que archivos de configuración con contraseñas DBMS, tokens o claves de acceso API terminan en el repositorio. Anteriormente, el escaneo se realizaba en modo pasivo y permitía identificar fugas que ya habían ocurrido y estaban incluidas en el repositorio. Para evitar filtraciones, GitHub también ha comenzado a ofrecer una opción para bloquear automáticamente las confirmaciones que contienen datos confidenciales.
La verificación se lleva a cabo durante git push y genera una advertencia de seguridad si se detectan tokens para conectarse a API estándar en el código. Se han implementado un total de 69 plantillas para identificar diferentes tipos de claves, tokens, certificados y credenciales. Para eliminar falsos positivos, solo se verifican los tipos de tokens garantizados. Después de un bloqueo, se le pide al desarrollador que revise el código problemático, arregle la fuga y vuelva a confirmar o marcar el bloqueo como falso.
Actualmente, la opción para bloquear filtraciones de forma proactiva solo está disponible para organizaciones que tienen acceso al servicio GitHub Advanced Security. El escaneo en modo pasivo es gratuito para todos los repositorios públicos, pero sigue siendo pago para los repositorios privados. Se informa que el escaneo pasivo ya ha identificado más de 700 mil fugas de datos confidenciales en repositorios privados.
Fuente: opennet.ru