GitHub розширює інструменти безпеки репозиторіїв

GitHub оголосив про оновлення своєї платформи Advanced Security. Причиною цього стало виявлення протягом 2024 року понад 39 мільйонів скомпрометованих секретів у репозиторіях, включаючи ключі API, паролі, токени та облікові дані. Про це повідомляє блог GitHub.

«Витік секретних даних залишається однією з найпоширеніших причин інцидентів безпеки, яким можна запобігти», — йдеться в повідомленні.

За інформацією GitHub, головними причинами, чому секрети продовжують з’являтись у відкритому просторі, є пріоритезація зручності розробниками, які обробляють секрети під час комітів, і випадкове відкриття сховища через історію git.

Щоб посилити безпеку платформи та репозиторіїв користувачів, GitHub оголосив про кілька нових заходів і вдосконалень існуючих систем:

• Secret Protection і Code Security тепер доступні як окремі продукти.
• Розширено функції безпеки для тарифного плану GitHub Team.
• Запроваджено безкоштовне сканування репозиторіїв на рівні всієї організації, що допомагає командам виявляти та знижувати ризик зараження.

Крім ініціатив і вдосконалень GitHub, користувачам також надається список рекомендованих дій, щоб захистити себе від витоків секретів. Зокрема, пропонується ввімкнути Push Protection на рівні репозиторію, організації або підприємства, щоб блокувати секрети перед тим, як вони будуть надсилатися в репозиторій.

Секрети — це змінні, які користувач створює для використання в робочих процесах GitHub Actions в організації, репозиторії чи середовищі репозиторія. GitHub Actions може читати секрет, лише якщо ви явно включите секрет у робочий процес.