GitHub теперь выявляет случайно раскрытые токены PyPI и RubyGems

GitHub теперь сканирует случайно раскрытые токены PyPI и RubyGems. Фото: Pixabay

Коротко

• GitHub теперь выявляет случайно раскрытые токены PyPI и RubyGems.
• Раскрытые секреты отзываются автоматически в течение нескольких секунд, а не ждут, пока разработчик. примет меры вручную.
• Этот шаг помогает защитить миллионы приложений, созданных разработчиками Ruby и Python.

Этот шаг помогает защитить миллионы приложений, созданных разработчиками Ruby и Python, которые могут непреднамеренно передавать секреты и учётные данные в свои общедоступные репозитории GitHub.

Накануне представители GitHub объявили, что теперь сервис для разработчиков будет автоматически сканировать репозитории, раскрывающие секреты PyPI и RubyGems, такие как учётные данные и токены API.

Чтобы воспользоваться этой функцией, разработчики должны убедиться, что  GitHub Advanced Security включён для их репозитория, хотя эта опция включена по умолчанию.

Из заявления администрации GitHub:

«Для общедоступных репозиториев на GitHub.com эти функции включены постоянно и могут быть отключены только в том случае, если вы измените видимость проекта так, чтобы код больше не был общедоступным»

Подобно имени пользователя и паролю, секреты или токены — это строки, которые можно использовать для аутентификации при использовании службы.

Приложения, использующие сторонние API, часто используют в своём коде секреты (закрытые ключи API) для получения доступа к службам API.

Таким образом, нужно быть осторожным, чтобы секреты не были раскрыты, поскольку это может привести к гораздо большим атакам, затрагивающим более широкую цепочку поставок программного обеспечения.

Когда GitHub обнаруживает пароль, токен API, частные ключи SSH или другой поддерживаемый секрет, открытый в общедоступном репозитории, он уведомляет об этом специалиста по обслуживанию реестра.

Сопровождающие реестр, например, недавно добавившие PyPI и RubyGems, затем отзовут открытые учётные данные и отправят разработчику электронное письмо с объяснением, почему.

Из заявления администрации GitHub:

«В каждом случае мы автоматически сканируем каждую фиксацию в общедоступном репозитории или сущности на предмет потенциально утечки учётных данных. Если мы находим такой, мы уведомляем реестр, и он автоматически аннулирует все скомпрометированные секреты и уведомляет своего владельца»

Преимущество партнёрства GitHub с RubyGems и PyPI здесь заключается в том, что раскрытые секреты отзываются автоматически в течение нескольких секунд, а не ждут, пока разработчик примет меры вручную.

Как сообщает Bleeping Computer случайно раскрытые секреты и учётные данные приводят к успешным взломам. Таким образом, автоматическое сканирование секретов приближает нас на один шаг к защите инфраструктуры разработчика от случайных утечек и повышению безопасности цепочки поставок.

Startpack также подготовил список продуктов для защиты персональных данных и корпоративного коммерческого конфидента. Список включает в себя менеджеры, позволяющие хранить и управлять паролями от всевозможных сервисов, защищённые почтовые службы, шифрующие отправления, службы мониторинга безопасности сайтов, которые помогают вовремя отследить и предотвратить недружественные или зловредные действия. Отдельная категория инструментов — прокси и виртуальные защищённые комнаты для работы с документами.

Статьи в тему

• Intel исправила 73 уязвимости в июньском обновлении платформы.
• Adobe выпустила внушительный список патчей для Adobe Acrobat, Reader и Photoshop.
• Google Chrome предупреждает о расширениях ненадёжных разработчиков.