O Github está reforçando sua segurança depois de encontrar 39 milhões de segredos impressionantes – chaves, credenciais, trabalhos – divulgando -se dos repositórios em 2024. Essa exposição coloca usuários e organizações em risco sério.
De acordo com o de Github relatórioesse vazamento maciço foi detectado por seu Serviço de varredura secretaque identifica as teclas, senhas e tokens expostos nos repositórios.
“Os vazamentos secretos continuam sendo uma das causas mais comuns – e evitáveis - de incidentes de segurança”, afirmou o Github em seu anúncio, observando: “Como desenvolvemos código mais rápido do que nunca imaginável, estamos vazando segredos mais rapidamente do que nunca”.
Apesar das medidas como “Proteção para Push”, lançada em abril de 2022 e ativadas por padrão em repositórios públicos em fevereiro de 2024, os segredos continuam a vazar devido à priorização de desenvolvedores ao lidar com segredos durante comissões e exposição acidental do repositório por meio do histórico do GIT.
Para combater esses vazamentos, o Github está lançando várias novas medidas e aprimoramentos:
- Proteção secreta independente e segurança de código: Disponível como produtos separados, essas ferramentas não exigem mais uma licença de segurança avançada completa do GitHub, com o objetivo de ser mais acessíveis para equipes menores.
- Avaliação de risco secreta gratuita em toda a organização: Verifica todos os repositórios (público, privado, interno e arquivado) para segredos expostos, disponíveis para todas as organizações do GitHub sem nenhum custo.
- Push Proteção com controles de desvio delegado: Digitalizações aprimoradas de proteção de push para segredos antes que o código seja pressionado e permite que as organizações defina quem pode ignorar a proteção, adicionando assim o controle no nível da política.
- Detecção secreta movida a copiloto: O GitHub está alavancando a IA via copiloto para detectar segredos não estruturados, como senhas, com o objetivo de melhorar a precisão e diminuir os falsos positivos.
- Detecção aprimorada por meio de parcerias de provedores de nuvem: O GitHub está colaborando com fornecedores como AWS, Google Cloud e OpenAI para aprimorar a precisão dos detectores secretos e acelerar as respostas aos vazamentos.
“Atualmente, nossos produtos de segurança estão disponíveis para compra como produtos independentes para empresas, permitindo que as equipes de desenvolvimento escalarem a segurança rapidamente”, explicou o Github. “Anteriormente, investir em varredura secreta e proteção de push exigia a compra de um conjunto maior de ferramentas de segurança, o que a tornava muito cara para muitas organizações”.
O tribunal rejeita reclamações de bilhões de dólares contra o GitHub Copilot
Além das atualizações do Github, os usuários devem tomar medidas proativas para proteger contra vazamentos secretos. As recomendações incluem permitir a proteção de push no nível de repositório, organização ou empresa para bloquear preventivamente os segredos. O GitHub também sugere eliminar segredos codificados usando variáveis de ambiente, gerentes secretos ou cofres.
A plataforma aconselha ainda o uso de ferramentas integradas com pipelines de CI/CD e plataformas de nuvem para manuseio secreto programático, minimizando a interação humana propensa a erros e a exposição potencial.
Por fim, o Github incentiva os usuários a revisar o Guia ‘Melhores Práticas’ para um gerenciamento abrangente de segredos.
