O GitHub acaba de anunciar a expansão dos recursos de verificação de segredos de sua plataforma de hospedagem de código para clientes do GitHub Advanced Security para bloquear vazamentos secretos automaticamente. A verificação de segredo é uma opção de segurança avançada que as organizações que usam o GitHub Enterprise Cloud com uma licença do GitHub Advanced Security podem habilitar para verificação de repositório adicional.
Verificação de segredo do GitHub
A verificação funciona combinando padrões definidos pela organização ou fornecidos por parceiros e prestadores de serviços. Cada correspondência é relatada como um alerta de segurança na guia Segurança dos repositórios ou para os parceiros se corresponder a um padrão de parceiro.
Bloqueia automaticamente a exposição acidental de segredos
O novo recurso, conhecido como proteção por push, foi projetado para evitar a exposição acidental de credenciais antes de confirmar o código em repositórios remotos. Ele incorpora a verificação secreta no fluxo de trabalho dos desenvolvedores e funciona com 69 tipos de token, como chaves de API, tokens de autenticação, tokens de acesso, certificados de gerenciamento, credenciais, chaves privadas, chaves secretas e mais.
Se o GitHub Enterprise Cloud identificar um segredo antes de enviar o código, o git push será bloqueado para permitir que os desenvolvedores revisem e removam os segredos do código que tentaram enviar para repositórios remotos.
Os desenvolvedores também podem marcar esses alertas de segurança como falsos positivos, casos de teste ou marcá-los para serem corrigidos posteriormente.
Notícias Relacionadas
Como habilitar a proteção por push de verificação secreta
As organizações com o GitHub Advanced Security podem habilitar o recurso de proteção por push de verificação secreta nos níveis de repositório e organização por meio da API ou com apenas um clique na interface do usuário.
O procedimento detalhado para habilitar a proteção push para sua organização exige que você, no GitHub.com, navegue até a página principal da organização. Sob o nome da sua organização, clique em Configurações. Na seção “Segurança” da barra lateral, clique em Segurança e análise de código. Em “Segurança e análise de código”, localize “GitHub Advanced Security”. Em “Verificação secreta”, em “Proteção por push”, clique em Ativar todos. Opcionalmente, clique em “Ativar automaticamente para repositórios privados adicionados à verificação secreta”.
Você também pode habilitá-lo para repositórios únicos, ativando-o na caixa de diálogo Configurações do repositório > Segurança e análise > GitHub Advanced Security.
Habilitar a verificação automatizada de segredos antes de confirmar seu código levará as organizações um passo mais perto de se proteger contra vazamentos acidentais e aumentar a segurança da cadeia de suprimentos.
Via: BleepingComputer
