GitHub a annoncé avoir renforcé la protection contre les données sensibles laissées par inadvertance dans le code par les développeurs et empêchant leur accès à ses référentiels. Par exemple, il arrive que des fichiers de configuration contenant des mots de passe SGBD, des jetons ou des clés d'accès API se retrouvent dans le référentiel. Auparavant, le scan était réalisé en mode passif et permettait d'identifier les fuites déjà survenues et incluses dans le référentiel. Pour éviter les fuites, GitHub a également commencé à proposer une option permettant de bloquer automatiquement les validations contenant des données sensibles.
La vérification est effectuée lors de git push et conduit à la génération d'un avertissement de sécurité si des tokens de connexion aux API standards sont détectés dans le code. Au total, 69 modèles ont été mis en œuvre pour identifier différents types de clés, jetons, certificats et informations d'identification. Pour éliminer les faux positifs, seuls les types de jetons garantis sont vérifiés. Après un blocage, le développeur est invité à examiner le code problématique, à corriger la fuite et à valider à nouveau ou à marquer le blocage comme faux.
L’option permettant de bloquer de manière proactive les fuites n’est actuellement disponible que pour les organisations ayant accès au service GitHub Advanced Security. L'analyse en mode passif est gratuite pour tous les référentiels publics, mais reste payante pour les référentiels privés. Il est rapporté que l'analyse passive a déjà identifié plus de 700 XNUMX fuites de données confidentielles dans des référentiels privés.
Source: opennet.ru