GitHub is zijn beveiliging versterken na het vinden van een verbluffende 39 miljoen geheimen – API -sleutels, referenties, de werken – die in 2024 uit repositories lekt. Deze blootstelling brengt gebruikers en organisaties met ernstig risico.
Volgens GitHub rapportdit enorme lek werd gedetecteerd door zijn Geheime scanservicedie blootgestelde API -toetsen, wachtwoorden en tokens identificeert in repositories.
“Geheime lekken blijven een van de meest voorkomende – en te voorkomen – causes van beveiligingsincidenten,” verklaarde GitHub in de aankondiging en merkte op: “Omdat we code sneller dan ooit eerder denkbaar ontwikkelen, lekken we ook sneller dan ooit geheimen.”
Ondanks maatregelen als “Push Protection”, gelanceerd in april 2022 en standaard ingeschakeld op openbare repositories in februari 2024, blijven geheimen lekken vanwege ontwikkelaars die prioriteit geven aan het gemak bij het hanteren van geheimen tijdens commits en blootstelling aan de Repository via GIT -geschiedenis.
Om deze lekken te bestrijden, rolt GitHub verschillende nieuwe maatregelen en verbeteringen uit:
- Standalone geheime bescherming en codebeveiliging: Beschikbaar als afzonderlijke producten, deze tools vereisen niet langer een volledige GitHub -geavanceerde beveiligingslicentie, die gericht zijn op betaalbaarder voor kleinere teams.
- Gratis organisatiebrede geheime risicobeoordeling: Controleert alle repositories (openbaar, privé, intern en gearchiveerd) op blootgestelde geheimen, zonder kosten beschikbaar voor alle GitHub -organisaties.
- Push -bescherming met gedelegeerde bypass -bedieningselementen: Verbeterde pushbeschermingsscans voor geheimen voordat de code wordt geduwd en organisaties in staat stellen te definiëren wie de bescherming kan omzeilen, waardoor de controle op beleidsniveau wordt toegevoegd.
- Copilot-aangedreven geheime detectie: GitHub maakt gebruik van AI via Copilot om ongestructureerde geheimen zoals wachtwoorden te detecteren, gericht op het verbeteren van de nauwkeurigheid en lagere valse positieven.
- Verbeterde detectie via partnerschappen in de cloudprovider: GitHub werkt samen met providers zoals AWS, Google Cloud en OpenAI om de nauwkeurigheid van geheime detectoren te verbeteren en de reacties op lekken te versnellen.
“Vanaf vandaag zijn onze beveiligingsproducten beschikbaar om te kopen als zelfstandige producten voor ondernemingen, waardoor ontwikkelingsteams snel de beveiliging kunnen schalen,” legt Github uit. “Eerder vereiste investeren in geheim scannen en pushbescherming de aankoop van een groter pakket beveiligingstools, waardoor het voor veel organisaties te duur was.”
De rechtbank verwerpt miljard dollarclaims tegen GitHub Copilot
Naast de upgrades van GitHub worden gebruikers aangespoord om proactieve stappen te ondernemen om te beschermen tegen geheime lekken. Aanbevelingen omvatten het inschakelen van pushbescherming op de repository, de organisatie of het bedrijfsniveau om de geheimen preventief te blokkeren. GitHub stelt ook voor om hardcode geheimen te elimineren door omgevingsvariabelen, geheime managers of kluizen te gebruiken.
Het platform adviseert verder het gebruik van tools die zijn geïntegreerd met CI/CD-pijpleidingen en cloudplatforms voor programmatische geheime behandeling, het minimaliseren van foutgevoelige menselijke interactie en potentiële blootstelling.
Ten slotte moedigt GitHub gebruikers aan om de gids ‘Best Practices’ voor uitgebreide Secrets Management te bekijken.
