GitHub предоставляет бесплатное секретное сканирование для всех общедоступных репозиториев
16 декабря 2022 г.GitHub объявил, что предоставит возможность сканирования секретов большему количеству пользователей, чтобы помочь администраторам общедоступных репозиториев обнаруживать утечку секретов в своих репозиториях до того, как произойдет взлом.
Запуск является частью секрета. партнерская программа сканирования, которая была создана для уведомления более 100 поставщиков услуг о раскрытии токенов в общедоступных репозиториях.
Раньше эта функция была доступна только организациям с GitHub Advanced Security, но теперь она будет доступна администраторам всех общедоступных репозиториев.
Сканирование секретов Github
Github утверждает, что сканирует более 200 форматов токенов (таких как ключи API и токены аутентификации), на идентификацию которых обычно уходит в среднем 327 дней, и уже уведомил своих партнеров о 1,7 миллионах потенциальных секретных раскрытий в общедоступных репозиториях. p>
Развертывание уже началось в бета-версии, и GitHub надеется, что все его участники получат доступ к концу января 2023 года. Компания также указала на доска обсуждений, где пользователи могут запросить ранний доступ или более подробно обсудить продукт.
"После того, как в вашем репозитории появятся оповещения о секретном сканировании, вы сможете включить их в настройках вашего репозитория в разделе "Настройки безопасности и анализа кода", – запись в blog отмечено.
"Вы можете увидеть все обнаруженные секреты, перейдя в Вкладку «Безопасность» вашего репозитория и выберите «Секретное сканирование» на боковой панели под «Предупреждениями об уязвимостях». Там вы увидите список всех обнаруженных секретов, и вы можете щелкнуть любое оповещение, чтобы раскрыть скомпрометированный секрет, его местоположение и предлагаемые действия по исправлению».
Двухфакторная аутентификация GitHub
Подчеркивая свою приверженность безопасности, GitHub также объявил, что к концу 2023 года всем пользователям, добавляющим код, потребуется настроить двухфакторную аутентификацию (2FA) в своих аккаунтах, что, по оценкам, затронет 94 человека. миллионов пользователей.
Избранная группа пользователей сначала получит уведомление об этой обязательной проверке в марте 2023 года, что послужит основой для оценки, прежде чем GitHub распространит ее на всю базу пользователей.
Оригинал