GitHub heeft aangekondigd dat het de bescherming heeft versterkt tegen gevoelige gegevens die per ongeluk door ontwikkelaars in de code zijn achtergelaten, zodat ze de repository's niet kunnen betreden. Het komt bijvoorbeeld voor dat configuratiebestanden met DBMS-wachtwoorden, tokens of API-toegangssleutels in de repository terechtkomen. Voorheen werd het scannen in passieve modus uitgevoerd, waardoor het mogelijk was om lekken te identificeren die al hadden plaatsgevonden en in de repository waren opgenomen. Om lekken te voorkomen, is GitHub bovendien begonnen met het bieden van een optie om commits die gevoelige gegevens bevatten automatisch te blokkeren.
De controle wordt uitgevoerd tijdens git push en leidt tot het genereren van een beveiligingswaarschuwing als tokens voor verbinding met standaard API's in de code worden gedetecteerd. Er zijn in totaal 69 sjablonen geïmplementeerd om verschillende soorten sleutels, tokens, certificaten en inloggegevens te identificeren. Om valse positieven te elimineren, worden alleen gegarandeerde tokentypen gecontroleerd. Na een blokkering wordt de ontwikkelaar gevraagd de problematische code te beoordelen, het lek te repareren en de blokkering opnieuw vast te leggen of als onwaar te markeren.
De mogelijkheid om lekken proactief te blokkeren is momenteel alleen beschikbaar voor organisaties die toegang hebben tot de dienst GitHub Advanced Security. Scannen in passieve modus is gratis voor alle openbare opslagplaatsen, maar blijft betaald voor particuliere opslagplaatsen. Naar verluidt heeft passief scannen al meer dan 700 lekken van vertrouwelijke gegevens in privéopslagplaatsen geïdentificeerd.
Bron: opennet.ru