GitHub mengumumkan pembaruan ke platform keamanan canggih setelah mendeteksi lebih dari 39 juta rahasia bocor dalam repositori selama 2024, termasuk kunci API dan kredensial, mengekspos pengguna dan organisasi pada risiko keamanan yang serius.
Dalam sebuah laporan baru oleh GitHub, perusahaan pengembangan mengatakan 39 juta rahasia ditemukan melaluinya Layanan Pemindaian Rahasiafitur keamanan yang mendeteksi kunci API, kata sandi, token, dan rahasia lainnya dalam repositori.
“Kebocoran rahasia tetap menjadi salah satu yang paling umum – dan dapat dicegah – menyebabkan insiden keamanan,” Membaca pengumuman GitHub.
“Ketika kami mengembangkan kode lebih cepat dari sebelumnya yang bisa dibayangkan, kami juga membocorkan rahasia dari sebelumnya.”
Ini terjadi meskipun langkah -langkah perlindungan GitHub yang ditargetkan seperti “Push Perlindungan,” yang diperkenalkan pada April 2022 dan sedang diaktifkan secara default pada semua repositori publik pada bulan Februari 2024.
Menurut GitHub, alasan utama mengapa rahasia terus bocor adalah prioritas kenyamanan oleh pengembang yang menangani rahasia selama komit dan paparan repositori yang tidak disengaja melalui sejarah Git.
GitHub mengubah keamanan lanjutan
GitHub mengumumkan beberapa langkah dan peningkatan baru untuk sistem yang ada untuk mengurangi kebocoran rahasia pada platform.
“Sampai hari ini, produk keamanan kami tersedia untuk dibeli sebagai produk mandiri untuk perusahaan, memungkinkan tim pengembangan untuk skala keamanan dengan cepat,” jelas GitHub.
“Sebelumnya, berinvestasi dalam pemindaian rahasia dan perlindungan dorong diperlukan untuk membeli rangkaian alat keamanan yang lebih besar, yang membuatnya terlalu mahal bagi banyak organisasi.
“Perubahan ini memastikan keamanan yang dapat diskalakan dengan perlindungan rahasia dan keamanan kode tidak lagi di luar jangkauan banyak organisasi.”
Perubahan keamanan lanjutan GitHub dirangkum sebagai berikut:
- Perlindungan Rahasia Mandiri dan Keamanan Kode – Sekarang tersedia sebagai produk terpisah, alat -alat ini tidak lagi memerlukan lisensi keamanan canggih GitHub penuh, membuatnya lebih terjangkau untuk tim yang lebih kecil.
- Penilaian Risiko Rahasia Rahasia Organisasi Gratis -Pemindaian point-in-time yang memeriksa semua repositori (publik, pribadi, internal, dan diarsipkan) untuk rahasia yang terbuka, gratis untuk semua organisasi GitHub.
- Dorong perlindungan dengan kontrol bypass yang didelegasikan -Meningkatkan pemindaian perlindungan push untuk rahasia sebelum kode didorong dan memungkinkan organisasi untuk mendefinisikan siapa yang dapat memotong perlindungan, menambahkan kontrol tingkat kebijakan.
- Deteksi rahasia bertenaga kopilot – GitHub sekarang menggunakan AI melalui kopilot untuk mendeteksi rahasia yang tidak terstruktur seperti kata sandi, meningkatkan akurasi dan menurunkan positif palsu.
- Deteksi yang ditingkatkan melalui kemitraan penyedia cloud – GitHub bekerja dengan penyedia seperti AWS, Google Cloud, dan Openai untuk membangun detektor rahasia yang lebih akurat dan merespons lebih cepat terhadap kebocoran.
Terlepas dari inisiatif dan perbaikan GitHub, pengguna juga diberi daftar tindakan yang disarankan untuk melindungi diri dari kebocoran rahasia.
Pertama, disarankan agar perlindungan push diaktifkan di tingkat repositori, organisasi, atau perusahaan untuk memblokir rahasia sebelum didorong ke repositori.
GitHub juga menyoroti pentingnya mengurangi risiko dengan menghilangkan rahasia hardcoded dari kode sumber sama sekali, alih -alih menggunakan variabel lingkungan, manajer rahasia, atau lemari besi untuk menyimpannya.
Platform ini menyarankan menggunakan alat yang berintegrasi dengan pipa CI/CD dan platform cloud untuk menangani rahasia secara terprogram, mengurangi interaksi manusia yang dapat menimbulkan kesalahan dan paparan.
Akhirnya, pengguna github disarankan untuk meninjau ‘Praktik terbaik‘Membimbing dan memastikan mereka mengelola rahasia dengan tepat ujung ke ujung.
