No final do ano passado, o GitHub anunciou a versão beta pública dos alertas de escaneamento de credenciais em repositórios. Mesmo não estando disponível para todos, 70 mil repositórios públicos ativaram os aletas, o que ajudou pessoas desenvolvedoras a fazer a identificarem milhares de credenciais vazadas. A partir de agora, a experiência de receber alertas na plataforma está disponível gratuitamente para todos os repositórios públicos.
É possível ativar os alertas em todos os repositórios que o administrador quiser receber notificações em caso de credenciais vazadas em todo o histórico do repositório, incluindo códigos, issues, descrições e comentários.
O escaneamento de credenciais do GitHub funciona com mais de 100 provedores de serviço no GitHub Partner Program. Além de alertar os usuários, o GitHub vai continuar a notificar os parceiros quando uma credencial for vazada.
De acordo com Mariam Sulakian, Gerente Sênior de Produtos, e Zayn Malik, Gerente Sênior de Marketing de Produto do GitHub.
Alertas para vazamento de credenciais do GitHub disponível para todos os repositórios públicos
A empresa garante que, com o escaneamento de credenciais ativado, os usuários receberão alertas nos casos em que não for possível avisar um parceiro, por exemplo, ou se chaves hospedadas por usuários ficarem expostas, assim como um registro de auditoria completo de ações tomadas após o aviso. Isso possibilita que profissionais tenham uma visibilidade completa na escala de risco.
Um exemplo prático é o caso do consultor DevOps Rob Bos, que habilitou o escaneamento de credenciais em aproximadamente 14 mil repositórios e descobriu mais de mil credenciais. “Minha pesquisa mostra por que todos deveriam ter o escaneamento de credenciais habilitado. Mesmo que eu treine muitas pessoas para usar a Segurança Avançada do GitHub, eu encontrei credenciais nos meus próprios repositórios por meio do escaneamento”, disse ele.
Qualquer pessoa que seja dona ou administradora de um repositório público pode ativar o alerta de escaneamento de credenciais. Essa ferramenta é mais uma aliada dos desenvolvedores. Os administradores de Enterprise e donos de organizações também podem fazer ativações em massa de alertas para diversos repositórios, pelo seguindo caminho: ir em “Settings” e clicar em “Code security and analysis” logo abaixo de “Security”; então, encontre “Secret scanning” e clique “Enable” para ativar.
Recomendamos que você ative essa funcionalidade agora mesmo, para que os alertas possam chegar, mantendo-o seguro, assim como, claro, suas credenciais. Esta é uma excelente adição do GitHub e a disponibilidade para todos os repositórios públicos, melhor ainda.
