O GitHub agora pode bloquear automaticamente commits contendo chaves de API

GitHub apresenta mais melhorias na segurança do npm
GitHub apresenta mais melhorias na segurança do npm

O GitHub acaba de anunciar a expansão dos recursos de verificação de segredos de sua plataforma de hospedagem de código para clientes do GitHub Advanced Security para bloquear vazamentos secretos automaticamente. A verificação de segredo é uma opção de segurança avançada que as organizações que usam o GitHub Enterprise Cloud com uma licença do GitHub Advanced Security podem habilitar para verificação de repositório adicional.

Verificação de segredo do GitHub

A verificação funciona combinando padrões definidos pela organização ou fornecidos por parceiros e prestadores de serviços. Cada correspondência é relatada como um alerta de segurança na guia Segurança dos repositórios ou para os parceiros se corresponder a um padrão de parceiro.

Bloqueia automaticamente a exposição acidental de segredos

O novo recurso, conhecido como proteção por push, foi projetado para evitar a exposição acidental de credenciais antes de confirmar o código em repositórios remotos. Ele incorpora a verificação secreta no fluxo de trabalho dos desenvolvedores e funciona com 69 tipos de token, como chaves de API, tokens de autenticação, tokens de acesso, certificados de gerenciamento, credenciais, chaves privadas, chaves secretas e mais.

o-github-agora-pode-bloquear-automaticamente-commits-contendo-chaves-de-api

Se o GitHub Enterprise Cloud identificar um segredo antes de enviar o código, o git push será bloqueado para permitir que os desenvolvedores revisem e removam os segredos do código que tentaram enviar para repositórios remotos.

Os desenvolvedores também podem marcar esses alertas de segurança como falsos positivos, casos de teste ou marcá-los para serem corrigidos posteriormente.

Como habilitar a proteção por push de verificação secreta

As organizações com o GitHub Advanced Security podem habilitar o recurso de proteção por push de verificação secreta nos níveis de repositório e organização por meio da API ou com apenas um clique na interface do usuário.

O procedimento detalhado para habilitar a proteção push para sua organização exige que você, no GitHub.com, navegue até a página principal da organização. Sob o nome da sua organização, clique em Configurações. Na seção “Segurança” da barra lateral, clique em  Segurança e análise de código. Em “Segurança e análise de código”, localize “GitHub Advanced Security”. Em “Verificação secreta”, em “Proteção por push”, clique em  Ativar todos. Opcionalmente, clique em “Ativar automaticamente para repositórios privados adicionados à verificação secreta”.

Você também pode habilitá-lo para repositórios únicos, ativando-o na caixa de diálogo Configurações do repositório > Segurança e análise > GitHub Advanced Security.

Habilitar a verificação automatizada de segredos antes de confirmar seu código levará as organizações um passo mais perto de se proteger contra vazamentos acidentais e aumentar a segurança da cadeia de suprimentos.

Via: BleepingComputer