GitHub объявил, что предоставит возможность сканирования секретов большему количеству пользователей, чтобы помочь администраторам общедоступных репозиториев обнаруживать утечки секретов в своих репозиториях до того, как произойдет нарушение.
Релиз является частью программы Secret Scan Partner, которая была создана для уведомления более 100 поставщиков услуг о раскрытии токенов в общедоступных репозиториях.
Ранее эта функция была доступна только организациям с GitHub Advanced Security, но теперь она будет доступна администраторам всех общедоступных репозиториев.
Секретный анализ Github
Github утверждает, что ищет более 200 форматов токенов (таких как ключи API и токены аутентификации), на идентификацию которых обычно уходит в среднем 327 дней, и уже сообщил своим партнерам о 1,7 миллионах потенциальных секретных раскрытий в общедоступных репозиториях.
Выпуск уже запущен в бета-версии, и GitHub ожидает, что все его участники получат доступ к концу января 2023 года. Компания также указала дискуссионный форум (открывается в новой вкладке), где пользователи могут запросить ранний доступ или обсудить продукт в более детально.
«После того, как в вашем репозитории появятся оповещения о секретном сканировании, вы сможете включить их в настройках репозитория в разделе настроек «Безопасность и сканирование кода», — говорится в сообщении в блоге компании (откроется в новой вкладке).
«Вы можете просмотреть все обнаруженные секреты, перейдя на вкладку «Безопасность» вашего репозитория и выбрав «Сканирование секретов» на боковой панели в разделе «Оповещения об уязвимостях». Там вы увидите список всех обнаруженных секретов, и вы можете нажать на любой оповещение о раскрытии скомпрометированного секрета, его местонахождении и предлагаемых мерах по исправлению положения.
Двухфакторная аутентификация на GitHub
Подчеркивая свою приверженность безопасности, GitHub также объявил, что к концу 2 года все пользователи, добавляющие код, будут внедрять двухфакторную аутентификацию (2023FA) в своих учетных записях, что затронет примерно 94 миллиона пользователей.
Избранная группа пользователей будет сначала уведомлена об этой обязательной проверке в марте 2023 года, что послужит основой для оценки, прежде чем GitHub выпустит ее для всей своей пользовательской базы.