Credenciais roubadas ou comprometidas foram as causas mais comuns de violação de dados em 2022. Com uma média de 327 dias para serem identificadas, essas violações de dados mostraram que vazamentos de credenciais podem levar a consequências graves. No entanto, o GitHub pretende aumentar a segurança nesse sentido, inclusive, acaba de liberar alertas gratuitos para vazamento de credenciais.
GitHub libera alertas gratuitos para vazamento de credenciais
Pensando em aprimorar os recursos de segurança para todos, o GitHub está liberando o escaneamento de credenciais para todos os repositórios públicos na comunidade.
“A plataforma possui parcerias com provedores de serviços para sinalizar credenciais vazadas em todos os repositórios públicos, por meio do programa de escaneamento de credenciais de parceiros, contando com a análise de repositórios em busca de mais de 200 formatos de token. Em 2022, o GitHub notificou os parceiros sobre mais de 1,7 milhão de segredos em potencial expostos em repositórios públicos, com o objetivo de evitar o uso indevido desses tokens”.
Os alertas de escaneamento de credenciais avisam diretamente sobre segredos vazados do código. Nesses casos, a plataforma também notificará os parceiros para garantir uma proteção mais rápida.
Além disso, a ferramenta enviará alertas sobre credenciais mesmo quando não for possível notificar um parceiro, por exemplo, se caso as chaves do HashiCorp Vault auto-hospedado forem expostas. Dessa forma, sempre existirá um rastreamento de todos os alertas para que os desenvolvedores possam se aprofundar na origem do vazamento e auditar as ações tomadas.
Assim, ao usar os alertas de escaneamento de credenciais nos repositórios públicos será possível evitar exposições de dados e desenvolver códigos em open source com mais confiança e segurança.
Lançamento da versão beta
O GitHub já iniciou o lançamento gradual da versão beta gratuita do escaneamento de credenciais para repositórios públicos. E espera que todos os usuários tenham acesso ao recurso até o final de janeiro de 2023.
As pessoas interessadas que desejam ter acesso antecipado, ou queiram comentar ou enviar dúvidas, podem mandar solicitações no GitHub Discussions, na área de segurança de código. Assim que os alertas estiverem disponíveis no repositório, os usuários poderão habilitar a função nas configurações de “Segurança e análise de código”, no repositório.
Já para ver todos os segredos detectados, será apenas necessário navegar até a guia “Segurança” e selecionar “Secret scanning” no painel lateral abaixo de “Alertas de vulnerabilidade”. Ao clicar nessa opção, será exibida uma lista com todas as credenciais detectadas e com a possibilidade de clicar em qualquer alerta para verificar informações sobre o que foi comprometido.