GitHub по умолчанию включает защиту push от секретного сканирования

В ответ на тревожную тенденцию непреднамеренного раскрытия ключей API, токенов и других конфиденциальных данных GitHub предпринял дополнительные шаги по защите своей платформы от потенциальных взломов.

За первые два месяца 2024 года GitHub обнаружил миллион утечек секретов в публичных хранилищах, в среднем более десятка инцидентов в минуту. Такие тревожные цифры подчеркивают острую необходимость в надежных мерах защиты пользователей и их данных.

С августа прошлого года GitHub предоставляет пользователям возможность отказаться от использования push-защиты при сканировании секретов - функции, предназначенной для автоматического перехвата и блокировки коммитов при обнаружении конфиденциальной информации. Развивая эту инициативу, GitHub теперь сделал защиту secret scanning push обязательной для всех пушей в публичных репозиториях.

Недавнее развертывание защиты push знаменует собой значительный шаг на пути к укреплению безопасности обширной базы пользователей GitHub. Согласно новой системе, пользователям будет предоставлена возможность либо удалить обнаруженный секрет из своих коммитов, либо, если он будет признан безопасным, обойти блокировку. Хотя переход на этот улучшенный протокол безопасности может занять неделю или две, пользователи могут заблаговременно проверить статус и отказаться от него через настройки безопасности и анализа кода.

Признавая потенциальные последствия утечки секретов, GitHub подчеркивает важность защиты не только частных, но и публичных репозиториев, которые являются неотъемлемой частью сообщества разработчиков открытого кода. Учитывая, что клиенты GitHub Advanced Security уже сканируют более 95 % писем, отправляемых в частные репозитории, распространение защиты писем на публичные репозитории отражает стремление поддерживать целостность и безопасность всей экосистемы GitHub.

Несмотря на внедрение push-защиты, GitHub подтверждает самостоятельность пользователей в управлении своими предпочтениями в области безопасности. Хотя по умолчанию защита push включена, у пользователей остается возможность обойти блокировку или полностью отключить защиту push через настройки безопасности пользователя. Тем не менее GitHub настоятельно рекомендует не отключать защиту push полностью - вместо этого он выступает за разумный подход, при котором исключения делаются в каждом конкретном случае.

Для организаций, использующих тарифный план GitHub Enterprise, доступны дополнительные функции безопасности, включая GitHub Advanced Security, которые защищают частные репозитории от потенциальных взломов. Это комплексное решение для платформы DevSecOps включает в себя сканирование секретов, сканирование кода, предложения по автоисправлению кода на основе искусственного интеллекта и другие функции статической защиты приложений (SAST).

Технология сканирования секретов GitHub охватывает более 200 типов токенов и шаблонов от более чем 180 поставщиков услуг, обеспечивая лучшую в отрасли точность и минимизацию ложных срабатываний. Используя коллективные усилия сообщества, GitHub стремится предотвратить непреднамеренное раскрытие конфиденциальной информации в публичных хранилищах.

Ранее на этой неделе исследование компании Apiiro показало, что более 100 000 репозиториев на GitHub заражены вредоносным кодом. Платформа борется с продолжающейся атакой "repo confusion", в ходе которой тысячи репозиториев, заполненных обфусцированным вредоносным кодом, стали мишенью для платформы.

Эти атаки являются частью более масштабной кампании по распространению вредоносного ПО, напоминающей тактику, раскрытую компанией Phylum в прошлом году. Кампания основана на использовании обманных пакетов Python, размещенных в клонированных репозиториях, для распространения вредоносной полезной нагрузки, известной как BlackCap Grabber.

Развертывание GitHub автоматической защиты push служит важнейшим механизмом защиты от подобной недобросовестной деятельности, предоставляя пользователям расширенную видимость и контроль над безопасностью их репозиториев.