GitHub ha annunciato che porterà la sua capacità di scansione dei segreti a più utenti con l'obiettivo di aiutare gli amministratori dei repository pubblici a rilevare fughe di segreti nei loro repository prima che si verifichi una violazione.
Il rilascio fa parte del programma Secret Scan Partner, creato per notificare a più di 100 fornitori di servizi l'esposizione di token nei repository pubblici.
In precedenza, la funzionalità era disponibile solo per le organizzazioni con GitHub Advanced Security, ma ora sarà disponibile per gli amministratori di tutti i repository pubblici.
Analisi segreta di Github
Github afferma di cercare oltre 200 formati di token (come chiavi API e token di autenticazione) che normalmente richiederebbero una media di 327 giorni per essere identificati e ha già segnalato ai suoi partner 1,7 milioni di potenziali esposizioni segrete nei repository pubblici.
Il rilascio è già iniziato in forma beta e GitHub prevede che tutti i suoi membri abbiano accesso entro la fine di gennaio 2023. L'azienda ha anche indicato un forum di discussione (si apre in una nuova scheda) dove gli utenti possono richiedere l'accesso anticipato o discutere del prodotto in più dettaglio.
"Una volta che gli avvisi di scansione segreta sono disponibili nel tuo repository, puoi abilitarli nelle impostazioni del tuo repository in Impostazioni 'Sicurezza e scansione del codice'", ha osservato un post sul blog aziendale (si apre in una nuova scheda).
"Puoi visualizzare tutti i segreti rilevati andando alla scheda "Sicurezza" del tuo repository e selezionando "Scansione segreta" nel pannello laterale sotto "Avvisi di vulnerabilità". Lì vedrai un elenco di tutti i segreti rilevati e puoi fare clic su qualsiasi avviso per rivelare il segreto compromesso, la sua posizione e l'azione correttiva suggerita.
GitHub 2FA
Sottolineando il suo impegno per la sicurezza, GitHub ha anche annunciato che richiederà a tutti gli utenti che contribuiscono con il codice di implementare l'autenticazione a due fattori (2FA) sui propri account entro la fine del 2023, interessando circa 94 milioni di utenti.
Un gruppo selezionato di utenti riceverà prima notifica di questa verifica obbligatoria nel marzo 2023, fornendo una base per la valutazione prima che GitHub la rilasci a tutta la sua base di utenti.