O GitHub anunciou melhorias na sua plataforma Advanced Security depois de detectar mais de 39 milhões de segredos expostos em repositórios ao longo de 2024. O vazamento incluiu chaves de API, credenciais e outros dados sensíveis, colocando em risco a segurança de usuários e organizações.
GitHub reforça segurança após vazamento de 39 milhões de segredos em 2024
Escaneamento revela riscos significativos
Em um novo relatório, o GitHub destacou que a exposição desses segredos foi identificada por meio de sua ferramenta de escaneamento, que detecta senhas, tokens e outras informações sensíveis em códigos armazenados na plataforma. Segundo a empresa, a divulgação acidental de credenciais continua sendo uma das principais causas de incidentes de segurança e poderia ser evitada com boas práticas de proteção.
Mesmo com medidas de segurança avançadas, como o “Push Protection”, introduzido em abril de 2022 e ativado por padrão em todos os repositórios públicos desde fevereiro de 2024, os vazamentos continuam ocorrendo. O GitHub atribui isso à priorização da conveniência por parte dos desenvolvedores e à exposição involuntária através do histórico do Git.
Melhorias na segurança do GitHub
Para mitigar os vazamentos, o GitHub implementou novas funcionalidades e aprimorou seus sistemas de proteção:
Notícias Relacionadas
Segurança digitalasus corrige falha crítica que permite bloqueio remoto de servidores
ASUS corrige falha crítica que permite bloqueio remoto de servidores
A ASUS anunciou uma importante atualização de segurança para corrigir uma vulnerabilidade crítica no controlador de gerenciamento de placas-mãe (BMC) MegaRAC, desenvolvido pela American Megatrends International (AMI). A falha, identificada como CVE-2024-54085, permite que hackers assumam o controle remoto de servidores e executem ações potencialmente destrutivas. Essa vulnerabilidade afeta o MegaRAC BMC, um software amplamente […]
Fraude digital
Rede Scallywave explora plugins WordPress para gerar bilhões de fraudes publicitárias
Uma investigação da empresa de segurança HUMAN revelou uma elaborada operação de fraude digital denominada Scallywave, que explorava plugins do WordPress para lucrar com impressões falsas de anúncios. Essa rede operava por meio de sites voltados à pirataria e serviços de encurtamento de URL, movimentando um impressionante volume de 1,4 bilhão de solicitações publicitárias fraudulentas […]
- Proteção de segredos e segurança de código independentes – Agora disponíveis como produtos individuais, permitindo que empresas menores invistam em segurança sem precisar adquirir um pacote completo.
- Avaliação gratuita de riscos em toda a organização – Um escaneamento pontual que verifica repositórios públicos, privados e arquivados em busca de segredos expostos.
- Proteção de push com bypass delegado – Amplia o escaneamento antes de um push e permite que organizações definam quem pode ignorar essa proteção.
- Detecção aprimorada com IA via Copilot – Usa inteligência artificial para identificar segredos não estruturados, reduzindo falsos positivos.
- Parcerias com provedores de nuvem – Colaboração com AWS, Google Cloud e OpenAI para criar detectores mais precisos e acelerar respostas a vazamentos.
Recomendações para evitar vazamentos
O GitHub também recomenda que os desenvolvedores adotem boas práticas para reduzir riscos:
- Ativar a Proteção de Push nos níveis de repositório, organização ou empresa para evitar o compartilhamento acidental de segredos.
- Evitar segredos hardcoded, optando por variáveis de ambiente, gerenciadores de segredos ou cofres de segurança.
- Integrar ferramentas de gestão de segredos em pipelines CI/CD e plataformas de nuvem para minimizar a interação manual.
- Seguir o guia de Melhores Práticas do GitHub para garantir a proteção dos dados sigilosos.
Com essas melhorias, o GitHub busca tornar a segurança mais acessível e eficaz para desenvolvedores e empresas de todos os portes.
