Το GitHub προσφέρνει δωρεάν μυστική σάρωση σε όλα τα δημόσια repos

Κάθε developer γνωρίζει ότι είναι κακή ιδέα να ενσωματώνονται τα διαπιστευτήρια ασφαλείας στον πηγαίο κώδικα. Ωστόσο, συμβαίνει και όταν συμβεί, οι συνέπειες μπορεί να είναι τρομερές. Μέχρι τώρα, το GitHub διέθετε την υπηρεσία μυστικής σάρωσης μόνο σε εταιρικούς χρήστες που πλήρωναν για το GitHub Advanced Security, αλλά από σήμερα, η εταιρεία που ανήκει στη Microsoft κάνει την υπηρεσία αυτή διαθέσιμη δωρεάν σε όλα τα δημόσια repos του GitHub.

Μόνο το 2022, η εταιρεία ενημέρωσε τους συνεργάτες στο πρόγραμμα συνεργατών μυστικής σάρωσης για περισσότερα από 1,7 εκατομμύρια πιθανά μυστικά που εκτέθηκαν σε δημόσια αποθετήρια. Η υπηρεσία σαρώνει τα αποθετήρια για περισσότερες από 200 γνωστές μορφές token και στη συνέχεια ειδοποιεί τους συνεργάτες για πιθανές διαρροές — και μπορείτε επίσης να ορίσετε τα δικά σας μοτίβα regex.

«Με τη μυστική σάρωση βρήκαμε πολλά σημαντικά πράγματα που πρέπει να αντιμετωπίσουμε», είπε ο David Ross, μηχανικός ασφαλείας προσωπικού στην Postmates. "Από την πλευρά του AppSec, είναι συχνά ο καλύτερος τρόπος για να έχουμε ορατότητα σε ζητήματα στον κώδικα."

Τώρα, εάν φιλοξενήσετε τον κώδικά σας στο GitHub, η εταιρεία θα σας ειδοποιήσει αυτόματα απευθείας για μυστικά που διέρρευσαν στον πηγαίο κώδικα σας. Αυτό σημαίνει επίσης ότι θα λαμβάνετε ειδοποιήσεις για μυστικά όπου δεν υπάρχει κάποιος για ειδοποίηση (ίσως επειδή φιλοξενείτε μόνοι σας το HashiCorp Vault σας, για παράδειγμα).

Για να ξεκινήσετε να χρησιμοποιείτε την υπηρεσία, πρέπει να ενεργοποιήσετε τη δυνατότητα στις ρυθμίσεις ασφαλείας του GitHub. Ωστόσο, η διάθεση της υπηρεσίας θα είναι σταδιακή και δεν θα είναι διαθέσιμη σε όλους τους χρήστες μέχρι τα τέλη Ιανουαρίου 2023.

Το εργαλείο του GitHub δεν είναι, φυσικά, η μόνη υπηρεσία που θα σαρώσει για μυστικά που διέρρευσαν. Υπάρχουν επίσης εργαλεία ανοιχτού κώδικα όπως το Gitleaks (που μπορούν να ενσωματωθούν) και μια πληθώρα εταιρειών ασφαλείας όπως το Nightfall και το CheckPoint’s Spectral, αν και οι υπηρεσίες τους τείνουν να υπερβαίνουν κατά πολύ τη μυστική σάρωση και γενικά απευθύνονται σε επιχειρήσεις.