GitHub avviserà in caso di esposizione di dati sensibili nel tuo repository – Tecnoblog
Come migliori offerte, nessuna coda bloccata
Immagina la seguente situazione: carichi un nuovo codice sul file Git Hub, ma, senza rendersene conto, pubblica qualcosa di riservato. Con questo in mente, la piattaforma Microsoft ha annunciato, questo giovedì (15), una scansione per avvisare gli sviluppatori se sono presenti informazioni sensibili in un repository pubblico. E la parte migliore: è gratis.
Per aumentare la sicurezza, GitHub esegue la scansione del codice in repository gratuiti (immagine: Disclosure / GitHub)
L'aggiornamento fa parte di uno strumento che era già disponibile per alcuni partner della piattaforma.
Con la modifica, la piattaforma eseguirà continuamente la scansione dei repository pubblici alla ricerca di chiavi e altri tipi di credenziali memorizzate. Se il sistema rileva qualcosa in quest'area, il responsabile del canale verrà immediatamente allertato per risolvere la situazione.
Tutte queste preoccupazioni non sono vane. Secondo GitHub, solo nel 2022, oltre 1,7 milioni di potenziali segreti di partner sono stati esposti in repository pubblici. E l'anno non è nemmeno finito.
Questi dati sensibili possono causare danni considerevoli se cadono nelle mani sbagliate. Ad esempio, se una chiave privata viene archiviata in modo errato su GitHub, a seconda della situazione, un utente malintenzionato potrebbe utilizzare le credenziali per invadere un sistema e raccogliere altre informazioni sensibili.
Lo stesso può accadere con nomi utente e password memorizzati in testo normale, un problema che ha afflitto anche le grandi aziende.
GitHub controlla i codici per garantire che i dati sensibili non vengano divulgati (Immagine: riproduzione)
Come funziona l'analisi di GitHub?
Il funzionamento è abbastanza semplice.
La funzione di analisi controlla i file archiviati nel repository. Pertanto, durante il caricamento di determinate informazioni riservate, il sistema le analizzerà e ti avviserà in modo che possano essere intraprese azioni il prima possibile.
"Avrai sempre un facile monitoraggio di tutti gli avvisi per esplorare la fonte della perdita e verificare le azioni intraprese in caso di avviso", hanno affermato.
Per utilizzare la nuova funzione, devi attivare la funzione nel tuo repository.
Se il tuo account è già idoneo, inserisci le impostazioni del repository e vai all'opzione "Sicurezza e analisi del codice". Quindi attiva semplicemente la scansione del codice ("code scanning", in inglese).
I rapporti contenenti informazioni sulla scansione saranno disponibili nella scheda "Sicurezza".
"Inizieremo il nostro lancio graduale della versione beta pubblica di Secret Verification per i repository pubblici questo giovedì (15) e ci aspettiamo che tutti gli utenti dispongano della funzione entro la fine di gennaio 2023", hanno spiegato.
Git Hub