GitHub ogłosił, że wzmocnił ochronę przed wrażliwymi danymi, które programiści nieumyślnie pozostawili w kodzie przed wejściem do jego repozytoriów. Zdarza się np., że do repozytorium trafiają pliki konfiguracyjne z hasłami DBMS, tokenami czy kluczami dostępu do API. Wcześniej skanowanie odbywało się w trybie pasywnym i pozwalało na identyfikację wycieków, które już wystąpiły i zostały uwzględnione w repozytorium. Aby zapobiec wyciekom, GitHub dodatkowo zaczął udostępniać opcję automatycznego blokowania zatwierdzeń zawierających wrażliwe dane.
Kontrola odbywa się podczas git push i prowadzi do wygenerowania ostrzeżenia bezpieczeństwa, jeśli w kodzie zostaną wykryte tokeny umożliwiające połączenie ze standardowymi API. W sumie wdrożono 69 szablonów do identyfikacji różnych typów kluczy, tokenów, certyfikatów i danych uwierzytelniających. Aby wyeliminować fałszywe alarmy, sprawdzane są tylko gwarantowane typy tokenów. Po zablokowaniu programista proszony jest o przejrzenie problematycznego kodu, naprawienie wycieku i ponowne zatwierdzenie lub oznaczenie bloku jako fałszywego.
Opcja proaktywnego blokowania wycieków jest obecnie dostępna tylko dla organizacji, które mają dostęp do usługi GitHub Advanced Security. Skanowanie w trybie pasywnym jest bezpłatne dla wszystkich repozytoriów publicznych, ale w przypadku repozytoriów prywatnych pozostaje płatne. Podaje się, że skanowanie pasywne zidentyfikowało już ponad 700 tysięcy wycieków poufnych danych w prywatnych repozytoriach.
Źródło: opennet.ru