GitHub libera alertas de vazamentos de credenciais para todos
Por Claudio Yuge |
A preocupação com a segurança em nuvem é uma das grandes tendências no setor de cibersegurança em 2023, e este assunto deve permear as principais plataformas comunitárias em todo o mundo. O GitHub já aderiu à trend em dezembro de 2022, com o anúncio de uma versão beta pública dos alertas de escaneamento de credenciais em repositórios. Agora, esse recurso fica gratuito para todos.
- GitHub libera IA que ajuda a programar para todos os usuários
- GitHub atinge 100 milhões de desenvolvedores ativos na plataforma
Desde o lançamento dessa ferramenta, 70 mil repositórios públicos ativaram os aletras, o que ajudou desenvolvedores identificarem milhares de credenciais vazadas. Com essa novidade, possível receber notificações em todos os repositórios que o administrador quiser receber caso vazamento de logina e senhas, em todo o histórico do ambiente de trabalho, incluindo códigos, issues, descrições e comentários.
“O escaneamento de credenciais do GitHub funciona com mais de 100 provedores de serviço no GitHub Partner Program. Além de alertar os usuários, o GitHub vai continuar a notificar os parceiros quando uma credencial for vazada,” explicaram Mariam Sulakian, Gerente Sênior de Produtos, e Zayn Malik, Gerente Sênior de Marketing de Produto do GitHub.
Como ativar alerta de escaneamento de credenciais no GitHub
Qualquer pessoa que seja dona ou administradora de um repositório público pode ativar o alerta. Os administradores de Enterprise e donos de organizações também podem fazer ativações em massa para diversos repositórios, pelo seguindo caminho: ir em “Settings” e clicar em “Code security and analysis” logo abaixo de “Security”; então, encontre “Secret scanning” e clique “Enable” para ativar.
Com o escaneamento de credenciais ativado, os usuários receberão alertas nos casos em que não for possível avisar um parceiro, por exemplo, ou se chaves hospedadas por usuários ficarem expostas. Um registro de auditoria completo de ações é tomado após o aviso, o que permite aos profissionais ter ampla visibilidade na escala de risco.
Um exemplo prático é o caso do consultor DevOps Rob Bos, que habilitou o escaneamento em aproximadamente 14 mil repositórios e descobriu mais de mil credenciais. "Minha pesquisa mostra por que todos deveriam ter o escaneamento de credenciais habilitado. Mesmo que eu treine muitas pessoas para usar a Segurança Avançada do GitHub, eu encontrei credenciais nos meus próprios repositórios por meio do escaneamento", disse ele.