GitHub artık API anahtarları gibi hassas bilgilerin sızıntısını otomatik olarak engelliyor ve tüm kamu kodu depoları için erişim belirteçleri.
Bugünkü duyuru, şirketin Beta'da bir yıldan fazla bir süre önce Nisan 2022'de itme korumasını tanıttıktan sonra geliyor.
Bu özellik, 'git push' işlemleri kabul edilmeden önce sırlar için tarayarak proaktif olarak sızıntıları önler ve 69 jeton tipi (API anahtarları, özel anahtarlar, gizli anahtarlar, kimlik doğrulama jetonları, erişim belirteçleri, yönetim sertifikaları, kimlik bilgileri ve daha fazlası) algılanabilir düşük "yanlış pozitif" algılama oranı ile.
Github bugün, "Sır içeren bir taahhütte bulunuyorsanız, gizli tür, konum ve pozlamanın nasıl düzeltileceği hakkında bilgi içeren bir itme koruma istemi görünecektir." Dedi.
"Push koruması sadece düşük yanlış pozitif oranlara sahip sırları engeller, bu nedenle bir taahhüt engellendiğinde, araştırmaya değer olduğunu biliyorsunuz."
GitHub'a göre, beta sürümünden bu yana, bunu sağlayan yazılım geliştiricileri, GitHub'a göre, yaklaşık 17.000 kazara hassas bilgi maruziyetini önledi, 95.000 saatten fazla tasarruf sağladı.
Bugünden önce, bu özellik yalnızca GitHub Gelişmiş Güvenlik Lisansı olan kuruluşlar tarafından özel depolar için etkinleştirilebilir olsa da, GitHub da bunu genel olarak tüm genel depolarda da kullanılabilir hale getirmiştir.
Şirket, "Bugün, GitHub Gelişmiş Güvenlik (GHAS) lisansına sahip özel depolar için ithal koruması mevcuttur." Dedi.
"Ayrıca, açık kaynaktaki geliştiricilerin ve bakımcıların kodlarını proaktif olarak güvence altına almalarına yardımcı olmak için Github, tüm kamu depoları için itme korumasını serbest bırakıyor."
GitHub Gelişmiş Güvenliği olan kuruluşlar, API aracılığıyla hem depo hem de organizasyon düzeylerinde veya kullanıcı arayüzünden yalnızca bir tıklamayla Gizli Tarama Push Koruma özelliğini sağlayabilir.
Kuruluşunuz için itme korumasını etkinleştirmek için ayrıntılı prosedür:
Ayrıca, tek depolar için her bir Repo'nun Ayarları> Güvenlik ve Analiz> GitHub Gelişmiş Güvenlik iletişim kutusundan geçerek de etkinleştirilebilir.
Komut satırından itme koruması kullanma veya bazı sırların itilmesine izin verilmesine ilişkin daha fazla ayrıntı GitHub'ın dokümantasyon sitesinde mevcuttur.
BleepingComputer'ın daha önce bildirdiği gibi, maruz kalan kimlik bilgileri ve sırlar son yıllarda yüksek etkili ihlallere yol açmıştır [1, 2, 3].
Bu nedenle, herhangi bir sır içeriyorsa kod itme işlemlerinin otomatik olarak engellenmesini sağlamak için özel depolar için veya kamu depolarında ücretsiz olarak itme koruması sağlanması, potansiyel olarak büyük etkilere sahip kazara sızıntılara karşı savunmanın basit bir yoludur.
Twitter çevrimiçi sızdırılan kaynak kodunu indirir, indiriciler için avlar
Github.com maruz kalan özel SSH anahtarını döndürür
Intel MSI ihlali sonrasında Intel Boot Guard Özel Anahtarlarının Sızıntısını Araştırıyor
Araştırmacı, bir iş bulmak için popüler paketçi php paketlerini kaçırır
GitHub artık özel güvenlik açığı raporunun ölçekte etkinleştirilmesini sağlıyor
Kaynak: Bleeping Computer