Ο Github ενισχύει την ασφάλειά του, αφού βρήκε ένα εκπληκτικό 39 εκατομμύρια μυστικά – τα πλήκτρα API, τα διαπιστευτήρια, τα έργα που συζητούν από αποθετήρια το 2024. Αυτή η έκθεση θέτει τους χρήστες και τους οργανισμούς με σοβαρό κίνδυνο.
Σύμφωνα με τον Github’s έκθεσηαυτή η μαζική διαρροή ανιχνεύθηκε από το δικό του μυστική υπηρεσία σάρωσηςη οποία προσδιορίζει εκτεθειμένα κλειδιά API, κωδικούς πρόσβασης και μάρκες εντός αποθετηρίων.
“Οι μυστικές διαρροές παραμένουν ένα από τα πιο συνηθισμένα – και αποτρέψιμα – τα περιστατικά ασφαλείας”, δήλωσε ο Github στην ανακοίνωσή του, σημειώνοντας: “Καθώς αναπτύσσουμε κώδικα γρηγορότερα από ποτέ, διαρρέουμε τα μυστικά γρηγορότερα από ποτέ.”
Παρά τα μέτρα όπως η “προστασία ώθησης”, που ξεκίνησε τον Απρίλιο του 2022 και επέτρεψε από προεπιλογή για δημόσια αποθετήρια τον Φεβρουάριο του 2024, τα μυστικά συνεχίζουν να διαρρέουν λόγω των προγραμματιστών που δίνουν προτεραιότητα στην ευκολία όταν χειρίζονται μυστικά κατά τη διάρκεια των δεσμεύσεων και της τυχαίας έκθεσης αποθετηρίου μέσω του ιστορικού GIT.
Για να καταπολεμήσει αυτές τις διαρροές, ο GitHub κυκλοφορεί αρκετά νέα μέτρα και βελτιώσεις:
- Ανεξάρτητα μυστική προστασία και ασφάλεια κώδικα: Διατίθεται ως ξεχωριστά προϊόντα, αυτά τα εργαλεία δεν απαιτούν πλέον πλήρη άδεια ασφάλειας GitHub, με στόχο να είναι πιο προσιτά για τις μικρότερες ομάδες.
- Δωρεάν αξιολόγηση μυστικού κινδύνου σε επίπεδο οργάνωσης: Ελέγχει όλα τα αποθετήρια (δημόσια, ιδιωτικά, εσωτερικά και αρχειοθετημένα) για εκτεθειμένα μυστικά, διαθέσιμα σε όλους τους οργανισμούς GitHub χωρίς κόστος.
- Προστασία προωθήσεων με μεταβιβασμένα στοιχεία ελέγχου παράκαμψης: Οι ενισχυμένες σαρώσεις προστασίας ώθησης για μυστικά πριν από την ώθηση του κώδικα και επιτρέπει στους οργανισμούς να καθορίσουν ποιος μπορεί να παρακάμψει την προστασία, προσθέτοντας έτσι τον έλεγχο σε επίπεδο πολιτικής.
- COPILOT-Powered Secret Detection: Το GitHub αξιοποιεί το AI μέσω του copilot για την ανίχνευση μη δομημένων μυστικών όπως οι κωδικοί πρόσβασης, με στόχο τη βελτίωση της ακρίβειας και τη μείωση των ψευδών θετικών.
- Βελτιωμένη ανίχνευση μέσω εταιρικών σχέσεων παροχής σύννεφων: Το GitHub συνεργάζεται με παρόχους όπως το AWS, το Google Cloud και το OpenAI για να ενισχύσει την ακρίβεια των μυστικών ανιχνευτών και να επιταχύνει τις αποκρίσεις σε διαρροές.
“Από σήμερα, τα προϊόντα ασφαλείας μας είναι διαθέσιμα για αγορά ως αυτόνομα προϊόντα για επιχειρήσεις, επιτρέποντας στις ομάδες ανάπτυξης να κλιμακώσουν γρήγορα την ασφάλεια”, εξήγησε ο Github. “Προηγουμένως, η επένδυση σε μυστική σάρωση και προστασία από ώθηση απαιτούσε την αγορά μιας μεγαλύτερης σειράς εργαλείων ασφαλείας, γεγονός που το κατέστησε υπερβολικά ακριβό για πολλούς οργανισμούς”.
Το δικαστήριο απορρίπτει αξιώσεις δισεκατομμυρίων δολαρίων κατά του Github Copilot
Πέρα από τις αναβαθμίσεις του GitHub, οι χρήστες καλούνται να λάβουν προληπτικά μέτρα για να προστατεύσουν τις μυστικές διαρροές. Οι συστάσεις περιλαμβάνουν την παροχή προστασίας ώθησης στο επίπεδο αποθήκευσης, οργάνωσης ή επιχειρήσεων για την προληπτική εμπλοκή των μυστικών. Το GitHub προτείνει επίσης την εξάλειψη των σκληρών κωδικών μυστικών χρησιμοποιώντας μεταβλητές περιβάλλοντος, μυστικούς διαχειριστές ή θόλους.
Η πλατφόρμα συμβουλεύει περαιτέρω τη χρήση εργαλείων ενσωματωμένα με αγωγούς CI/CD και πλατφόρμες cloud για προγραμματιστικό μυστικό χειρισμό, ελαχιστοποιώντας την ανθρώπινη αλληλεπίδραση και πιθανή έκθεση σε σφάλματα.
Τέλος, το GitHub ενθαρρύνει τους χρήστες να αναθεωρήσουν τον οδηγό «βέλτιστων πρακτικών» για τη διαχείριση ολοκληρωμένων μυστικών.
VIA: DataConomy.com
