GitHub agora pode bloquear códigos que tenham risco de vazamento de credenciais
Por Dácio Castelo Branco • Editado por Claudio Yuge |
O GitHub anunciou uma novidade para os usuários do serviço GitHub Advanced Security: agora a solução também conta com as capacidades de Varredura Secreta presentes nos repositórios de código de planos empresariais da plataforma, possibilitando a detecção de programações que, quando executadas, possam levar a vazamento de credenciais ou outros dados sensíveis de seu funcionamento.
A Varredura Secreta do GitHub é uma função avançada de segurança que organizações que utilizam o GitHub Enterprise Cloud tem acesso. Ela funciona procurando por padrões de código que, caso executados, possam resultar em exposição de dados de ambientes corporativos.
No serviço GitHub Advanced Security, a solução é chamada de "proteção de push", e tem o mesmo objetivo da versão presente na Enterprise Cloud, mas mais voltado ao uso de APIs e meios de autenticação dos serviços - impedindo assim o vazamento de credenciais que permitam acesso a partes confidenciais de sistemas e aplicações na hora que desenvolvedores forem enviar o código para os repositórios.
Segundo o GitHub, a ferramenta pode detectar possíveis informações vazadas de 69 tokens diferentes, sejam de autenticação, chaves de API ou certificados de acesso, com uma taxa baixa de falsos positivos nos alertas.
Demais funções da nova ferramenta de segurança do GitHub
Para não acabar atrapalhando o fluxo de trabalho dos desenvolvedores, a solução só funciona com os tokens que atualmente ela detecta com precisão, conforme relatado acima. Após o alerta, o push é bloqueado para os trabalhadores poderem detectar o problema e arrumá-lo.
A ferramenta também apresenta a possibilidade dos usuários marcarem possíveis alertas como falsos positivos, além de também contar com um sistema de marcações para indicar a todos que tem acesso os problemas detectados naquele push.
Mais informações sobre a nova ferramenta estão disponíveis no site do GitHub.
Fonte: GitHub