Η Github ανακοίνωσε ενημερώσεις στην προηγμένη πλατφόρμα ασφαλείας της, αφού ανίχνευσε πάνω από 39 εκατομμύρια διαρροή μυστικά σε αποθετήρια κατά τη διάρκεια του 2024, συμπεριλαμβανομένων των κλειδιά API και των διαπιστευτηρίων, εκθέτοντας τους χρήστες και τους οργανισμούς σε σοβαρούς κινδύνους ασφαλείας.
Σε μια νέα έκθεση της GitHub, η αναπτυξιακή εταιρεία αναφέρει ότι τα 39 εκατομμύρια μυστικά βρέθηκαν μέσω της μυστική υπηρεσία σάρωσηςένα χαρακτηριστικό ασφαλείας που ανιχνεύει κλειδιά API, κωδικούς πρόσβασης, μάρκες και άλλα μυστικά σε αποθετήρια.
“Οι μυστικές διαρροές παραμένουν ένα από τα πιο συνηθισμένα και προληπτικά στοιχεία για περιστατικά ασφαλείας,” Διαβάζει την ανακοίνωση του GitHub.
“Καθώς αναπτύσσουμε κώδικα γρηγορότερα από ποτέ που μπορεί να φανταστούμε προηγουμένως, διαρρέουμε τα μυστικά γρηγορότερα από ποτέ.”
Αυτό συμβαίνει παρά το στόχο της GitHub, όπως το “Push Protection”, το οποίο εισήχθη τον Απρίλιο του 2022 και ενεργοποιήθηκε από προεπιλογή σε όλα τα δημόσια αποθετήρια τον Φεβρουάριο του 2024.
Σύμφωνα με τον GitHub, οι κύριοι λόγοι για τους οποίους τα μυστικά συνεχίζουν να διαρρέουν είναι η ιεράρχηση της ευκολίας από τους προγραμματιστές που χειρίζονται μυστικά κατά τη διάρκεια των δεσμεύσεων και της τυχαίας έκθεσης αποθετηρίου μέσω του ιστορικού GIT.
https://www.youtube.com/watch?v=VMHDKT5JNN0
Το GitHub ανανεώνει την προηγμένη ασφάλεια
Ο Github ανακοίνωσε αρκετά νέα μέτρα και βελτιώσεις στα υπάρχοντα συστήματα για την άμβλυνση των μυστικών διαρροών στην πλατφόρμα.
“Από σήμερα, τα προϊόντα ασφαλείας μας είναι διαθέσιμα για αγορά ως αυτόνομα προϊόντα για επιχειρήσεις, επιτρέποντας στις ομάδες ανάπτυξης να κλιμακώσουν γρήγορα την ασφάλεια”, εξήγησε ο GitHub.
“Προηγουμένως, η επένδυση σε μυστική σάρωση και προστασία από ώθηση απαιτούσε την αγορά μιας μεγαλύτερης σειράς εργαλείων ασφαλείας, γεγονός που το κατέστησε υπερβολικά ακριβό για πολλούς οργανισμούς.
“Αυτή η αλλαγή εξασφαλίζει κλιμακωτή ασφάλεια με μυστική προστασία και ασφάλεια κώδικα δεν είναι πλέον μακριά για πολλούς οργανισμούς”.
Οι προχωρημένες αλλαγές ασφαλείας GitHub συνοψίζονται ως εξής:
- Αυτόνομη μυστική προστασία και ασφάλεια κώδικα – Τώρα διαθέσιμα ως ξεχωριστά προϊόντα, αυτά τα εργαλεία δεν απαιτούν πλέον πλήρη άδεια ασφάλειας GitHub, καθιστώντας τα πιο προσιτά για μικρότερες ομάδες.
- Δωρεάν αξιολόγηση μυστικού κινδύνου σε επίπεδο οργάνωσης -Μια σάρωση σημείων που ελέγχει όλα τα αποθετήρια (δημόσια, ιδιωτικά, εσωτερικά και αρχειοθετημένα) για εκτεθειμένα μυστικά, δωρεάν για όλους τους οργανισμούς GitHub.
- Πιέστε την προστασία με μεταβιβασμένα στοιχεία ελέγχου παράκαμψης -Ενισχυμένες σαρώσεις προστασίας ώθησης για μυστικά πριν από την ώθηση του κώδικα και επιτρέπει στους οργανισμούς να καθορίσουν ποιος μπορεί να παρακάμψει την προστασία, προσθέτοντας έλεγχο σε επίπεδο πολιτικής.
- COPILOT-powered μυστική ανίχνευση – Το GitHub χρησιμοποιεί τώρα το AI μέσω του copilot για να ανιχνεύσει μη δομημένα μυστικά όπως κωδικούς πρόσβασης, βελτιώνοντας την ακρίβεια και μειώνοντας τα ψευδώς θετικά.
- Βελτιωμένη ανίχνευση μέσω εταιρικών σχέσεων παροχής σύννεφων – Το GitHub συνεργάζεται με παρόχους όπως το AWS, το Google Cloud και το OpenAI για να δημιουργήσουν ακριβέστερους μυστικούς ανιχνευτές και να ανταποκριθούν ταχύτερα σε διαρροές.
Εκτός από τις πρωτοβουλίες και τις βελτιώσεις του GitHub, οι χρήστες λαμβάνουν επίσης έναν κατάλογο των συνιστώμενων ενεργειών για να προστατευθούν από μυστικές διαρροές.
Πρώτον, προτείνεται να ενεργοποιηθεί η προστασία ώθησης στο επίπεδο αποθήκευσης, οργάνωσης ή επιχειρήσεων για να εμποδίσουν τα μυστικά πριν τους ωθηθούν σε ένα αποθετήριο.
Το GitHub υπογραμμίζει επίσης τη σημασία της μείωσης του κινδύνου, εξαλείφοντας εντελώς τα μυστικά από τον πηγαίο κώδικα, χρησιμοποιώντας συνολικά τις μεταβλητές περιβάλλοντος, τους μυστικούς διαχειριστές ή τους θόλους για την αποθήκευση τους.
Η πλατφόρμα προτείνει τη χρήση εργαλείων που ενσωματώνονται με αγωγούς CI/CD και πλατφόρμες cloud για να χειρίζονται προγραμματικά μυστικά, μειώνοντας την ανθρώπινη αλληλεπίδραση που μπορεί να εισαγάγει σφάλματα και έκθεση.
Τέλος, οι χρήστες του GitHub συνιστώνται να αναθεωρήσουν το ‘Βέλτιστες πρακτικές«Οδηγός και βεβαιωθείτε ότι διαχειρίζονται κατάλληλα μυστικά από άκρο σε άκρο.
Με βάση μια ανάλυση 14 μέτρων κακόβουλων ενεργειών, ανακαλύψτε τις 10 κορυφαίες τεχνικές ATT & CK πίσω από το 93% των επιθέσεων και τον τρόπο υπεράσπισης εναντίον τους.
VIA: bleepingcomputer.com
