GitHub теперь выявляет случайно раскрытые токены PyPI и RubyGems
GitHub теперь сканирует случайно раскрытые токены PyPI и RubyGems. Фото: Pixabay
Коротко
- GitHub теперь выявляет случайно раскрытые токены PyPI и RubyGems.
- Раскрытые секреты отзываются автоматически в течение нескольких секунд, а не ждут, пока разработчик. примет меры вручную.
- Этот шаг помогает защитить миллионы приложений, созданных разработчиками Ruby и Python.
Этот шаг помогает защитить миллионы приложений, созданных разработчиками Ruby и Python, которые могут непреднамеренно передавать секреты и учётные данные в свои общедоступные репозитории GitHub.
Накануне представители GitHub объявили, что теперь сервис для разработчиков будет автоматически сканировать репозитории, раскрывающие секреты PyPI и RubyGems, такие как учётные данные и токены API.
Чтобы воспользоваться этой функцией, разработчики должны убедиться, что GitHub Advanced Security включён для их репозитория, хотя эта опция включена по умолчанию.
Из заявления администрации GitHub:
«Для общедоступных репозиториев на GitHub.com эти функции включены постоянно и могут быть отключены только в том случае, если вы измените видимость проекта так, чтобы код больше не был общедоступным»
Подобно имени пользователя и паролю, секреты или токены — это строки, которые можно использовать для аутентификации при использовании службы.
Приложения, использующие сторонние API, часто используют в своём коде секреты (закрытые ключи API) для получения доступа к службам API.
Таким образом, нужно быть осторожным, чтобы секреты не были раскрыты, поскольку это может привести к гораздо большим атакам, затрагивающим более широкую цепочку поставок программного обеспечения.
Когда GitHub обнаруживает пароль, токен API, частные ключи SSH или другой поддерживаемый секрет, открытый в общедоступном репозитории, он уведомляет об этом специалиста по обслуживанию реестра.
Сопровождающие реестр, например, недавно добавившие PyPI и RubyGems, затем отзовут открытые учётные данные и отправят разработчику электронное письмо с объяснением, почему.
Из заявления администрации GitHub:
«В каждом случае мы автоматически сканируем каждую фиксацию в общедоступном репозитории или сущности на предмет потенциально утечки учётных данных. Если мы находим такой, мы уведомляем реестр, и он автоматически аннулирует все скомпрометированные секреты и уведомляет своего владельца»
Преимущество партнёрства GitHub с RubyGems и PyPI здесь заключается в том, что раскрытые секреты отзываются автоматически в течение нескольких секунд, а не ждут, пока разработчик примет меры вручную.
Как сообщает Bleeping Computer случайно раскрытые секреты и учётные данные приводят к успешным взломам. Таким образом, автоматическое сканирование секретов приближает нас на один шаг к защите инфраструктуры разработчика от случайных утечек и повышению безопасности цепочки поставок.
Startpack также подготовил список продуктов для защиты персональных данных и корпоративного коммерческого конфидента. Список включает в себя менеджеры, позволяющие хранить и управлять паролями от всевозможных сервисов, защищённые почтовые службы, шифрующие отправления, службы мониторинга безопасности сайтов, которые помогают вовремя отследить и предотвратить недружественные или зловредные действия. Отдельная категория инструментов — прокси и виртуальные защищённые комнаты для работы с документами.
Статьи в тему
Комментариев пока не было