Github, API anahtarları ve kimlik bilgileri de dahil olmak üzere, kullanıcıları ve kuruluşları ciddi güvenlik risklerine maruz bırakarak, 2024 yılında depolarda 39 milyondan fazla sızdırılmış sır tespit ettikten sonra gelişmiş güvenlik platformunda güncellemeler duyurdu.
GitHub'ın yeni bir raporunda, geliştirme şirketi, 39 milyon sırın, API anahtarlarını, şifreleri, jetonları ve depolardaki diğer sırları algılayan bir güvenlik özelliği olan gizli tarama hizmeti aracılığıyla bulunduğunu söylüyor.
GitHub'ın duyurusu, "Gizli sızıntılar, güvenlik olaylarının en yaygın ve önlenebilir (önlenebilir) durumlarından biri olmaya devam ediyor."
"Kodları daha önce hiç akla gelebileceğinden daha hızlı geliştirdiğimiz için, sırları her zamankinden daha hızlı sızdırıyoruz."
Bu, GitHub'ın Nisan 2022'de tanıtılan ve Şubat 2024'teki tüm kamu depolarında varsayılan olarak etkinleştirilen "Push Koruma" gibi hedefli koruma önlemlerine rağmen gerçekleşiyor.
GitHub'a göre, sırların sızmaya devam etmesinin ana nedenleri, taahhütler sırasında sırları ve git tarihi aracılığıyla kazara depoya maruz kalma olan geliştiricilerin rahatlığın önceliklendirilmesidir.
Github, platformdaki gizli sızıntıları azaltmak için mevcut sistemlerde birkaç yeni önlem ve geliştirme duyurdu.
Github, "Bugün itibariyle güvenlik ürünlerimiz, geliştirme ekiplerinin güvenliği hızlı bir şekilde ölçeklendirmesini sağlayan işletmeler için bağımsız ürünler olarak satın alınabilir."
"Daha önce, gizli tarama ve itme korumasına yatırım yapmak, birçok kuruluş için çok pahalı hale getiren daha büyük bir güvenlik aracı paketinin satın alınmasını gerektiriyordu.
Diyerek şöyle devam etti: "Bu değişiklik, gizli koruma ve kod güvenliği ile ölçeklenebilir güvenliğin artık birçok kuruluş için erişilememesini sağlıyor."
GitHub Gelişmiş Güvenlik değişiklikleri aşağıdaki gibi özetlenmiştir:
GitHub'ın girişimleri ve iyileştirmeleri dışında, kullanıcılara da kendilerini gizli sızıntılardan korumak için önerilen eylemlerin bir listesi verilir.
İlk olarak, bir depoya itilmeden önce sırları engellemek için depo, kuruluş veya işletme düzeyinde itme korumasının etkinleştirilmesi önerilmektedir.
Github ayrıca, bunları depolamak için ortam değişkenlerini, gizli yöneticileri veya tonozları kullanarak, sert kodlanmış sırları tamamen kaynak kodundan çıkararak riski azaltmanın önemini vurgulamaktadır.
Platform, sırları programlı olarak işlemek için CI/CD boru hatları ve bulut platformları ile entegre olan araçları kullanmayı, hatalar ve pozlama getirebilecek insan etkileşimini azaltır.
Son olarak, GitHub kullanıcılarının 'En İyi Uygulamalar' kılavuzunu gözden geçirmeleri ve sırları uçtan uca uygun şekilde yönetmeleri önerilir.
14 metrelik kötü niyetli eylemlerin analizine dayanarak, saldırıların% 93'ünün ve bunlara karşı nasıl savunulacağının arkasındaki en iyi 10 MITER ATT & CK tekniklerini keşfedin.
Github Eylem Tedarik Zinciri Saldırısı 218 Repo'da Sırlar
Github Action Hack muhtemelen basamaklı tedarik zinciri saldırısında bir başkasına yol açtı
Popüler GitHub Eylemine Tedarik Zinciri Saldırısı CI/CD Sırlarını Gösteriyor
Texas State Bar, INC Ransomware Talepleri saldırısından sonra veri ihlalini uyardı
Oracle, müşterilere bulut ihlalini özel olarak onaylar
Kaynak: Bleeping Computer