O GitHub anunciou que reforçou a proteção contra dados confidenciais que foram deixados inadvertidamente no código pelos desenvolvedores ao entrarem em seus repositórios. Por exemplo, acontece que arquivos de configuração com senhas, tokens ou chaves de acesso API do SGBD acabam no repositório. Anteriormente, a varredura era realizada em modo passivo e permitia identificar vazamentos já ocorridos e incluídos no repositório. Para evitar vazamentos, o GitHub também começou a fornecer uma opção para bloquear automaticamente commits que contenham dados confidenciais.
A verificação é realizada durante o git push e leva à geração de um aviso de segurança se tokens para conexão com APIs padrão forem detectados no código. Um total de 69 modelos foram implementados para identificar diferentes tipos de chaves, tokens, certificados e credenciais. Para eliminar falsos positivos, apenas os tipos de token garantidos são verificados. Após um bloqueio, o desenvolvedor é solicitado a revisar o código problemático, corrigir o vazamento e confirmar novamente ou marcar o bloco como falso.
A opção de bloquear vazamentos proativamente está atualmente disponível apenas para organizações que têm acesso ao serviço GitHub Advanced Security. A verificação no modo passivo é gratuita para todos os repositórios públicos, mas continua paga para repositórios privados. É relatado que a varredura passiva já identificou mais de 700 mil vazamentos de dados confidenciais em repositórios privados.
Fonte: opennet.ru