Το GitHub έχει ενεργοποιήσει την προστασία push από προεπιλογή για όλα τα δημόσια αποθετήρια για να αποτρέψει την τυχαία έκθεση μυστικών, όπως τα διακριτικά πρόσβασης και τα κλειδιά API κατά την προώθηση νέου κώδικα.
Η σημερινή ανακοίνωση έρχεται αφότου η εταιρεία εισήγαγε την προστασία push σε beta σχεδόν πριν από δύο χρόνια, τον Απρίλιο του 2022, ως έναν εύκολο τρόπο για την αυτόματη αποτροπή διαρροών ευαίσθητων πληροφοριών. Η δυνατότητα έγινε γενικά διαθέσιμη για όλα τα δημόσια repos τον Μάιο του 2023.
Η προστασία ώθησης αποτρέπει προληπτικά τις διαρροές σαρώνοντας για μυστικά πριν γίνουν αποδεκτές οι λειτουργίες “git push” και μπλοκάροντας τις δεσμεύσεις όταν ανιχνευτεί ένα μυστικό.
Το GitHub λέει ότι η λειτουργία μυστικής σάρωσης αποτρέπει αυτόματα τη διαρροή μυστικών, εντοπίζοντας πάνω από 200 τύπους διακριτικών και μοτίβα από περισσότερους από 180 παρόχους υπηρεσιών (κλειδιά API, ιδιωτικά κλειδιά, μυστικά κλειδιά, διακριτικά ελέγχου ταυτότητας, διακριτικά πρόσβασης, πιστοποιητικά διαχείρισης, διαπιστευτήρια και άλλα).
“Αυτή την εβδομάδα, ξεκινήσαμε την κυκλοφορία της προστασίας push για όλους τους χρήστες. Αυτό σημαίνει ότι όταν ανιχνεύεται ένα υποστηριζόμενο μυστικό σε οποιαδήποτε ώθηση σε ένα δημόσιο χώρο αποθήκευσης, θα έχετε την επιλογή να αφαιρέσετε το μυστικό από τις δεσμεύσεις σας ή, εάν πιστεύετε ότι μυστικό χρηματοκιβώτιο, παρακάμψτε το μπλοκ», οι Eric Tooley και Courtney Claessens του GitHub
είπε
.
“Μπορεί να χρειαστούν μία ή δύο εβδομάδες για να εφαρμοστεί αυτή η αλλαγή στον λογαριασμό σας. Μπορείτε να επαληθεύσετε την κατάσταση και να δηλώσετε συμμετοχή νωρίς στις ρυθμίσεις ασφάλειας κώδικα και ανάλυσης.”
Ακόμη και με την προστασία push ενεργοποιημένη από προεπιλογή για όλα τα δημόσια repos, οι χρήστες του GitHub μπορούν να παρακάμψουν το αυτοματοποιημένο μπλοκ δέσμευσης. Αν και δεν συνιστάται, μπορούν να απενεργοποιήσουν πλήρως την προστασία push στις ρυθμίσεις ασφαλείας τους.
Push προστασία σε δράση (GitHub)
Οι οργανισμοί που είναι εγγεγραμμένοι στο πρόγραμμα GitHub Enterprise μπορούν να χρησιμοποιήσουν το GitHub Advanced Security, το οποίο προστατεύει ευαίσθητες πληροφορίες εντός ιδιωτικών αποθετηρίων. Αυτό προσθέτει επίσης μια σειρά από άλλες μυστικές λειτουργίες σάρωσης, καθώς και σάρωση κώδικα, προτάσεις κώδικα που βασίζονται σε AI και άλλες δυνατότητες ασφάλειας στατικών εφαρμογών (SAST).
«Οι τυχαίες διαρροές κλειδιών API, tokens και άλλων μυστικών κινδυνεύουν με παραβιάσεις της ασφάλειας, ζημιά στη φήμη και νομική ευθύνη σε εκπληκτική κλίμακα», δήλωσαν οι Tooley και Claessens.
“Μόλις τις πρώτες οκτώ εβδομάδες του 2024, το GitHub εντόπισε πάνω από 1 εκατομμύριο μυστικά που διέρρευσαν σε δημόσια αποθετήρια. Αυτό είναι περισσότερες από δώδεκα τυχαίες διαρροές κάθε λεπτό.”
Περισσότερες λεπτομέρειες σχετικά με τη χρήση της προστασίας ώθησης από τη γραμμή εντολών ή τη δυνατότητα προώθησης ορισμένων μυστικών είναι διαθέσιμες σε αυτό
Σελίδα τεκμηρίωσης GitHub
.
Όπως έχει αναφέρει το BleepingComputer τα τελευταία χρόνια, τα εκτεθειμένα διαπιστευτήρια και μυστικά έχουν οδηγήσει σε πολλαπλές παραβιάσεις υψηλού αντίκτυπου [1, 2, 3].
VIA:
bleepingcomputer.com
