Github, açıkta kalan sırların (kimlik bilgileri ve kimlik dışı jetonlar gibi) kod barındırma platformundaki tüm kamu depolarına ücretsiz taranması için destek veriyor.
Gizli tarama, kuruluşların bilinen sırların kazara maruz kalmasını tespit etmesini sağlayabilecekleri bir güvenlik seçeneğidir.
Ortaklar ve hizmet sağlayıcıları tarafından sağlanan veya kuruluş tarafından tanımlanan kalıpları eşleştirerek çalışır. Her maç, bir ortak desen eşleşmeyi tetiklerse, depoların güvenlik sekmesinde veya ortaklara bir güvenlik uyarısı olarak bildirilir.
Daha önce, Gizli Tarama Hizmeti yalnızca GitHub Gelişmiş Güvenlik Lisansı ile GitHub Enterprise Cloud kullanılarak Orgs için mevcuttu.
Github depoları 200'den fazla jeton formatı için tarar (API anahtarları, kimlik doğrulama jetonları, erişim belirteçleri, yönetim sertifikaları, kimlik bilgileri, özel anahtarlar, gizli anahtarlar ve daha fazlası dahil).
Yalnızca bu yılın başlangıcından bu yana, şirket kamu depolarında maruz kalan 1,7 milyondan fazla potansiyel sır vertiğini söyledi.
"Bugün, Github topluluğundaki tüm ücretsiz kamu depolarına ücretsiz olarak gizli taramaya başlıyoruz," Github's
Mariam Sulakian ve Zain Malik Perşembe günü söyledi.
Diyerek şöyle devam etti: "Bugün kamuya açık depolar için gizli tarama beta sunumumuza başlayacağız ve tüm kullanıcıların Ocak 2023'ün sonuna kadar bu özelliğe sahip olmasını bekleyeceğiz."
Bir depoda etkinleştirildikten sonra Github, geliştiricileri koddaki sızdırılan sırlar için otomatik olarak bilgilendirir, böylece kuruluşların uyarıları kolayca izlemesine, bir sızıntı kaynağını tanımlamasına ve kamu reposuna bağlı herhangi bir sırların kazara hileli kullanımını önlemek için hızlı bir şekilde harekete geçecektir.
Ücretsiz kamu depoları için gizli tarama uyarılarına geçiş yapmak için aşağıdaki adımlardan geçmelisiniz:
GitHub'ın Dokümantasyon web sitesindeki depolarınız için gizli taramaların nasıl etkinleştirileceği hakkında ayrıntılı bilgiler ve gizli tarama yetenekleri hakkında daha fazla ayrıntı burada bulunmaktadır.
Nisan ayında Github, Secrets Scanning'in Github Gelişmiş Güvenlik müşterilerinin, açık depolara kod işlemeden önce açık bir şekilde açık olan taahhütleri otomatik olarak engelleme ve kimlik bilgilerinin yanlışlıkla maruz kalmasını önleme yeteneklerini genişlettiğini de açıkladı.
BleepingComputer'ın daha önce bildirdiği gibi, maruz kalan kimlik bilgileri ve sırlar yüksek etkili ihlallere yol açmıştır [1, 2, 3].
Sır taramasını etkinleştirmek, GitHub kullanan kuruluşların tedarik zinciri güvenliğini artırmak ve kendilerini kazara sızıntılardan korumak için kolay bir yoldur.
Yeni açık kaynaklı araç, sırlar için kamu aws s3 kovalarını tarar
GitHub, tüm kullanıcıların 2023 sonuna kadar 2FA'yı etkinleştirmesini isteyecek
Docker Hub Depoları 1.650'den fazla kötü niyetli konteyneri gizlemek
İngiliz Govt, İngiltere'de barındırılan tüm internet cihazlarını tarıyor
Microsoft Github Copilot aracılığıyla açık kaynak korsanlığı için dava açtı
Kaynak: Bleeping Computer