Github steigert seine Sicherheit, nachdem er erstaunliche 39 Millionen Geheimnisse – API -Schlüssel, Anmeldeinformationen, die Arbeiten – im Jahr 2024 von Repositorys gefunden hat. Diese Belichtung bringt Nutzern und Organisationen einem ernsthaften Risiko.
Laut Githubs BerichtDieses massive Leck wurde durch seine nachgewiesen geheimer Scan -Servicedie exponierte API -Schlüssel, Passwörter und Token in Repositories identifiziert.
„Geheime Lecks bleiben eines der häufigsten und vermeidbaren – Sicherheitsvorfälle“, erklärte Github in seiner Ankündigung und stellte fest: „Da wir Code schneller als je zuvor vorstellbar entwickeln, haben wir auch Geheimnisse schneller als je zuvor.“
Trotz Maßnahmen wie „Push Protection“, die im April 2022 eingeführt und standardmäßig im Februar 2024 in öffentlichen Repositorys ermöglicht wurden, lecken die Geheimnisse weiterhin, da Entwickler die Bequemlichkeit beim Umgang mit Geheimnissen während des Commits und der Versäumnis der Aufnahme von Repository durch GIT -Geschichte priorisieren.
Um diese Lecks zu bekämpfen, führt GitHub mehrere neue Maßnahmen und Verbesserungen aus:
- Eigenständiger geheimer Schutz und Codesicherheit: Diese Tools sind als separate Produkte erhältlich und erfordern keine vollständige Github Advanced Security Lizenz mehr, um für kleinere Teams günstiger zu sein.
- Kostenlose organisationsweite geheime Risikobewertung: Überprüft alle Repositories (öffentlich, privat, intern und archiviert) auf exponierte Geheimnisse, die allen Github -Organisationen kostenlos zur Verfügung stehen.
- Drücken Sie den Schutz mit delegierten Bypass -Kontrollen: Verbesserte Push-Schutz-Scans für Geheimnisse, bevor Code gedrückt wird, und ermöglicht es Unternehmen, zu definieren, wer den Schutz umgehen kann, wodurch die Kontrolle über Richtlinienebene hinzugefügt wird.
- Copilot betriebene Geheimkennung: GitHub nutzt AI über Copilot, um unstrukturierte Geheimnisse wie Passwörter zu erkennen, um die Genauigkeit zu verbessern und falsch -positive Ergebnisse zu senken.
- Verbesserte Erkennung über Cloud -Anbieter -Partnerschaften: GitHub arbeitet mit Anbietern wie AWS, Google Cloud und OpenAI zusammen, um die Genauigkeit von Geheimdetektoren zu verbessern und die Antworten auf Lecks zu beschleunigen.
„Ab heute können unsere Sicherheitsprodukte als eigenständige Produkte für Unternehmen erwerben und es Entwicklungsteams ermöglichen, die Sicherheit schnell zu skalieren“, erklärte Github. „Zuvor erforderte die Investition in geheime Scan- und Push -Schutz, um eine größere Reihe von Sicherheitstools zu kaufen, was es für viele Organisationen zu teuer machte.“
Das Gericht lehnt Milliarden-Dollar-Ansprüche gegen Github Copilot ab
Über die Upgrades von Github hinaus werden die Benutzer aufgefordert, proaktive Schritte zu unternehmen, um vor geheimen Lecks zu schützen. Zu den Empfehlungen gehören das Ermöglichen von Push -Schutz auf Repository, Organisation oder Unternehmensebene, um die Geheimnisse präventiv zu blockieren. GitHub schlägt außerdem vor, hartcodierte Geheimnisse durch Verwendung von Umgebungsvariablen, geheimen Managern oder Gewölben zu beseitigen.
Die Plattform empfiehlt weiter, Tools zu verwenden, die in CI/CD-Pipelines und Cloud-Plattformen für die programmatische geheime Handhabung integriert sind und die fehleranfällige menschliche Interaktion und potenzielle Belichtung minimieren.
Schließlich ermutigt GitHub Benutzer, den Leitfaden „Best Practices“ für umfassendes Geheimnissemanagement zu überprüfen.
