GitHub ha annunciato di aver rafforzato la protezione contro i dati sensibili lasciati inavvertitamente nel codice dagli sviluppatori prima che entrassero nei suoi repository. Ad esempio, capita che file di configurazione con password DBMS, token o chiavi di accesso API finiscano nel repository. In precedenza, la scansione veniva effettuata in modalità passiva e consentiva di identificare le fughe di notizie già verificatesi e incluse nel repository. Per evitare fughe di notizie, GitHub ha inoltre iniziato a fornire un'opzione per bloccare automaticamente i commit che contengono dati sensibili.
Il controllo viene effettuato durante git push e porta alla generazione di un avviso di sicurezza nel caso nel codice vengano rilevati token per la connessione ad API standard. Sono stati implementati un totale di 69 modelli per identificare diversi tipi di chiavi, token, certificati e credenziali. Per eliminare i falsi positivi, vengono controllati solo i tipi di token garantiti. Dopo un blocco, allo sviluppatore viene chiesto di rivedere il codice problematico, correggere la perdita e reimpegnare o contrassegnare il blocco come falso.
L'opzione per bloccare in modo proattivo le perdite è attualmente disponibile solo per le organizzazioni che hanno accesso al servizio GitHub Advanced Security. La scansione in modalità passiva è gratuita per tutti gli archivi pubblici, ma resta a pagamento per gli archivi privati. È stato riferito che la scansione passiva ha già individuato più di 700mila fughe di dati riservati in archivi privati.
Fonte: opennet.ru