O GitHub agora está bloqueando automaticamente o vazamento de informações confidenciais, como chaves de API e tokens de acesso para todos os repositórios de código públicos.
O anúncio de hoje vem depois que a empresa introduziu a proteção push em beta há mais de um ano, em abril de 2022.
Esse recurso previne proativamente vazamentos por meio da varredura de segredos antes que as operações de ‘git push’ sejam aceitas, e funciona com 69 tipos de token (chaves de API, chaves privadas, chaves secretas, tokens de autenticação, tokens de acesso, certificados de gerenciamento, credenciais e muito mais) detectáveis com uma baixa taxa de detecção de “falsos positivos”.
GitHub bloqueia automaticamente vazamentos de token e chave de API para todos os repositórios
“Se você estiver enviando uma confirmação contendo um segredo, um prompt de proteção por push aparecerá com informações sobre o tipo de segredo, localização e como corrigir a exposição”, disse o GitHub.
“A proteção push só bloqueia segredos com baixas taxas de falsos positivos, então quando um commit é bloqueado, você sabe que vale a pena investigar.”
Desde seu lançamento beta, os desenvolvedores de software que o habilitaram evitaram com sucesso cerca de 17.000 exposições acidentais de informações confidenciais, economizando mais de 95.000 horas que teriam sido gastas revogando, girando e remediando segredos comprometidos, de acordo com o GitHub.
Enquanto antes esse recurso só podia ser habilitado para repositórios privados por organizações com uma licença de Segurança Avançada do GitHub, agora o GitHub também o disponibilizou para o público em geral em todos os repositórios públicos.
“Hoje, a proteção push está geralmente disponível para repositórios privados com uma licença GitHub Advanced Security (GHAS)”, disse a empresa.
“Além disso, para ajudar desenvolvedores e mantenedores em código aberto a proteger proativamente seu código, o GitHub está tornando a proteção por push gratuita para todos os repositórios públicos.”
Como ativar a proteção por push de varredura secreta
As organizações com o GitHub Advanced Security podem habilitar o recurso de proteção por push de varredura secreta nos níveis de repositório e organização por meio da API ou com apenas um clique na interface do usuário.
O procedimento detalhado para habilitar a proteção por push para sua organização exige que você:
- Ao GitHub.com, navegue até a página principal da organização.
- Sob o nome da sua organização, clique em Configurações.
- Na seção “Segurança” da barra lateral, clique em Segurança e análise de código.
- Em “Configurar segurança e análise de código”, localize “Segurança Avançada do GitHub”.
- Em “Varredura secreta”, clique em Ativar tudo ao lado de “Proteção por push”.
- Opcionalmente, clique em “Ativar automaticamente para repositórios privados adicionados à verificação secreta”.
Ele também pode ser habilitado para repositórios únicos, alternando-o a partir de cada repositório Configurações > análise de segurança > caixa de diálogo Segurança avançada do GitHub.
Mais detalhes sobre como usar a proteção por push da linha de comando ou permitir que alguns segredos sejam enviados por push estão disponíveis no site de documentação do GitHub.
Credenciais e segredos expostos levaram a violações de alto impacto nos últimos anos, como o BleepingComputer relatou anteriormente [1, 2, 3].
Portanto, habilitar a proteção por push para repositórios privados ou gratuitamente em repositórios públicos para garantir que os envios de código sejam bloqueados automaticamente se contiverem segredos é uma maneira simples de se defender contra vazamentos acidentais com impactos potencialmente massivos.
