GitHub halfjaarlijkse standaard alle informatie zoals api-sleutels en private en geheime sleutels in openbare repository’s. Ook andere verborgen en vertrouwelijke informatie wordt misbruikt als gebruikers via git pushen naar een open repo. De functie was eerder in bèta.
GitHub schrijft in een blogpost dat de functie genaamd Push-beveiliging hetzelfde ras beschikbaar is. Die beschikbaarheid geldt voor alle publieke repo’s op het platform. Verder kunnen gebruikers de functie toepassen op private repo’s als ze een Advanced Security-abonnement hebben.
Push-beveiliging scant elke commit naar een openbare opslagplaats op de aanwezigheid van geheimen van gevoelige informatie. Het gaat om api-keys, access tokens, geheimen van wachtwoorden die in code zitten. Ook lagere GitHub standaardcertificaten en andere mogelijke gevoelige informatie. GitHub zegt dat het samenwerkt met verschillende partijen om ervoor te zorgen dat het aantal positieve meldingen laag blijft. Het bedrijf werkt daarvoor samen met andere diensten als AWS en Google.
De functie werkt direct vanuit zowel IDE’s met gui’s als vanuit de opdrachtregel als gebruikerstools als git gebruiken. Gebruikers die de code pushen met geheimen erin, krijgen dan een waarschuwing te zien. Die kan worden gepubliceerd, maar gebruikers moeten dan een reden waarom het nodig is een geheim in te vullen. Als ze dat doen binnen de repo van een grote organisatie, dan krijgen de beheerders een melding.
De functie kwam vorig jaar al uit in bèta, maar was toen alleen nog niet beschikbaar voor Advanced Security-gebruikers. Tijdens de bètaperiode zijn er 17.000 lekken tegengehouden, zegt GitHub.
credit :Source link