GitHub on rakendanud ennetavat blokeerimist API tokenite lekkimiste vältimiseks

GitHub teatas, et on tugevdanud kaitset konfidentsiaalsete andmete sattumise vastu repositoori, mille arendajad on kogemata koodi joonud. Näiteks juhtub, et repositooriumisse satuvad konfiguratsioonifailid, milles on andmebaasi paroolid, tokenid või API pääsukoodid. Varem toimus skaneerimine passiivses režiimis, mis võimaldas tuvastada juba toimunud lekked. Lekete vältimiseks on GitHub käivitanud lisavõimaluse automaatseks kommitõkestamiseks, kui avastatakse konfidentsiaalsed andmed.

Kontroll toimub git push käivitamisel ja toob kaasa turvahoiatuse, kui koodist tuvastatakse tüüpilise API ühendustoken. Kokku on kasutusele võetud 69 mallid erinevate võtmete, tokenite, sertifikaatide ja mandaadi tuvastamiseks. Valehäirete vältimiseks kontrollitakse vaid garanteeritult tuvastatavaid tokeni tüüpe. Pärast blokeerimist pakutakse arendajale võimalust probleemse koodi üle vaadata, lekkimise kõrvaldada ja kommit korrata või märkida blokeering valehäiretaks.

Ennetav lekete blokeerimise võimalus on hetkel saadaval ainult organisatsioonidele, kes omavad juurdepääsu teenusele „GitHub Advanced Security“. Passiivne skaneerimine on tasuta kõikidele avalikele repositooriumidele, kuid jääb tasuliseks privaatsete repositooriumide jaoks. On teatatud, et passiivne skaneerimine on juba tuvastanud rohkem kui 700 000 konfidentsiaalsete andmete leket privaatsetes repositooriumides.

Allikas: opennet.ru

Osta usaldusväärne veebihosting DDoS kaitsega, VPS VDS serverid 🔥 Osta usaldusväärne veebihosting DDoS kaitsega, VPS VDS serverid | ProHoster