HACKING

GitHub: Αποκλείει αυτόματα δεσμεύσεις που περιέχουν κλειδιά API

This post was originally published on this site

Σύμφωνα με μία πρόσφατη ανακοίνωση του GitHub, οι δυνατότητες σάρωσης μυστικών της πλατφόρμας φιλοξενίας κώδικα για πελάτες του GitHub Advanced Security έχουν επεκταθεί, ώστε να αποκλείει αυτόματα διαρροές.

Δείτε επίσης: Περισσότερα τρωτά σημεία ασφαλείας εντοπίζονται από τη σάρωση κώδικα GitHub

Η μυστική σάρωση είναι μια προηγμένη επιλογή ασφαλείας που μπορούν να ενεργοποιήσουν οι οργανισμοί που χρησιμοποιούν το GitHub Enterprise Cloud με άδεια GitHub Advanced Security για πρόσθετη σάρωση αποθετηρίου.

Λειτουργεί με αντιστοίχιση μοτίβων που ορίζονται από τον οργανισμό ή παρέχονται από συνεργάτες και παρόχους υπηρεσιών. Κάθε αντιστοίχιση αναφέρεται ως ειδοποίηση ασφαλείας στην καρτέλα Ασφάλεια των repos ή σε συνεργάτες εάν ταιριάζει με ένα μοτίβο συνεργάτη.

Η νέα δυνατότητα, γνωστή ως προστασία ώθησης, έχει σχεδιαστεί για να αποτρέπει την τυχαία έκθεση των διαπιστευτηρίων πριν από τη δέσμευση κώδικα σε απομακρυσμένα αποθετήρια.

Αυτή η νέα δυνατότητα ενσωματώνει τη μυστική σάρωση στη ροή εργασιών των προγραμματιστών και λειτουργεί με 69 τύπους διακριτικών (κλειδιά API, διακριτικά ελέγχου ταυτότητας, διακριτικά πρόσβασης, πιστοποιητικά διαχείρισης, διαπιστευτήρια, ιδιωτικά κλειδιά, μυστικά κλειδιά και άλλα) που μπορούν να ανιχνευθούν με χαμηλό “ψευδώς θετικό” ποσοστό ανίχνευσης.

Εάν το GitHub Enterprise Cloud εντοπίσει ένα μυστικό πριν προωθήσει τον κώδικα, το git push αποκλείεται για να επιτρέψει στους προγραμματιστές να ελέγξουν και να αφαιρέσουν τα μυστικά από τον κώδικα που προσπάθησαν να προωθήσουν σε απομακρυσμένα repos.

Δείτε ακόμα: Microsoft Sentinel: Αποκτά παρακολούθηση απειλών για GitHub repos

Οι προγραμματιστές μπορούν επίσης να επισημάνουν αυτές τις ειδοποιήσεις ασφαλείας ως ψευδώς θετικές, περιπτώσεις δοκιμών ή να τις επισημάνουν για μετέπειτα επιδιόρθωση.

Οι οργανισμοί με το GitHub Advanced Security, μπορούν να ενεργοποιήσουν τη λειτουργία μυστικής προστασίας ώθησης σάρωσης τόσο σε επίπεδο αποθετηρίου όσο και σε επίπεδο οργανισμού μέσω του API ή με ένα μόνο κλικ από τη διεπαφή χρήστη.

αποκλείει δεσμεύσειςαποκλείει δεσμεύσεις

Η λεπτομερής διαδικασία για την ενεργοποίηση της προστασίας push για τον οργανισμό σας απαιτεί:

  1. Στο GitHub.com, μεταβείτε στην κύρια σελίδα του οργανισμού.
  2. Κάτω από το όνομα του οργανισμού σας, κάντε κλικ στις Ρυθμίσεις.
  3. Στην ενότητα “Ασφάλεια” της πλαϊνής γραμμής, κάντε κλικ στην επιλογή Ασφάλεια και ανάλυση κώδικα.
  4. Στην ενότητα “Ασφάλεια και ανάλυση κώδικα“, βρείτε το “GitHub Advanced Security“.
  5. Στην ενότητα “Μυστική σάρωση“, στην περιοχή “Προστασία με ώθηση“, κάντε κλικ στην επιλογή Ενεργοποίηση όλων.
  6. Προαιρετικά, κάντε κλικ στην επιλογή “Αυτόματη ενεργοποίηση για ιδιωτικά αποθετήρια που έχουν προστεθεί στη μυστική σάρωση.”

Δείτε επίσης: Πώς μπορείτε να διαγράψετε ένα Branch στο GitHub

Μπορείτε να βρείτε περισσότερες πληροφορίες σχετικά με τις δυνατότητες μυστικής σάρωσης εδώ και πρόσθετες λεπτομέρειες σχετικά με τον τρόπο χρήσης της προστασίας ώθησης από τη γραμμή εντολών ή να επιτρέψετε την προώθηση ορισμένων μυστικών εδώ.

Μπορείτε επίσης να το ενεργοποιήσετε για μεμονωμένα αποθετήρια ενεργοποιώντας το από το παράθυρο διαλόγου Ρυθμίσεις > Ασφάλεια και ανάλυση > GitHub Advanced Security.

The post GitHub: Αποκλείει αυτόματα δεσμεύσεις που περιέχουν κλειδιά API appeared first on SecNews.gr.

https://www.secnews.gr/

%d bloggers like this: