GitHub ha annunciato il potenziamento della protezione contro l'inclusione nei repository di dati sensibili, spesso trascurati dai programmatori nel codice. Ad esempio, può capitare che file di configurazione contenenti password per database, token o chiavi di accesso a API vengano caricati nel repository. In precedenza, la scansione avveniva in modalità passiva e permetteva di rilevare perdite già avvenute nel repository. Per prevenire tali perdite, GitHub ha iniziato a offrire un'opzione per il blocco automatico dei commit che contengono dati riservati.
Il controllo avviene durante l'esecuzione di git push e genera un avviso di violazione della sicurezza qualora vengano identificati nel codice token per connettersi a API standard. Sono stati implementati 69 modelli per identificare vari tipi di chiavi, token, certificati e credenziali. Per escludere falsi positivi, vengono controllati soltanto i tipi di token che possono essere definiti con certezza. Dopo il blocco, viene richiesto allo sviluppatore di rivedere il codice problematico, correggere la perdita e ripetere il commit o di contrassegnare il blocco come falso positivo.
L'opzione per il blocco preventivo delle perdite è attualmente disponibile solo per le organizzazioni che hanno accesso al servizio «GitHub Advanced Security». La scansione in modalità passiva è gratuita per tutti i repository pubblici, ma rimane a pagamento per i repository privati. Si segnala che la scansione passiva ha già rivelato oltre 700.000 perdite di dati riservati in repository privati.
Fonte: opennet.ru
