GitHub libera serviço que avisa sobre exposição de credenciais

O GitHub anunciou nesta quinta-feira (15) a liberação gratuita de seu programa que analisa repositórios de códigos em busca de credenciais e segredos expostos em meio à programação. O sistema é capaz de detectar mais de 200 formatos de tokens entre as linhas disponíveis, reduzindo os riscos de segurança aos próprios desenvolvimento e também aos usuários pela detecção de elementos que não deveriam ser abertos ao público.

• Dicas básicas para a proteção de dados durante o desenvolvimento de softwares
• 6 linguagens de programação que favorecem o desenvolvimento de ambientes seguros

A liberação é uma evolução de uma plataforma que já está disponível para parceiros do serviço, que também continuam a contar com isso. Sempre que um segredo ou credencial for detectado, o desenvolvedor responsável receberá uma notificação para que possa tomar as ações devidas e realizar auditoria caso tais elementos tenham sido expostos ao público, gerando possíveis vulnerabilidades de segurança.

O objetivo, de acordo com o GitHub, é dar maior visibilidade a um problema comum no desenvolvimento de software. De acordo com dados citados pela companhia na liberação do recurso, o roubo de credenciais foi o tipo mais comum de cibercrime em 2022, com a exposição de segredos no código levando 327 dias para ser localizada por meios usuais; o objetivo do recurso, então, é reduzir isso a um nível imediato, indicando onde ações precisam ser tomadas e, claro, liberando tempo para que os desenvolvedores foquem em outros elementos.

Enquanto isso, no projeto de escaneamento ao lado dos parceiros, a plataforma afirma ter impedido mais de oito mil vazamentos de dados. São resultados de um segundo programa da rede, chamado Push Protection, que avalia códigos antes de serem colocados no ar em busca de elementos perigosos, credenciais e outros elementos que possam gerar risco.

A tecnologia é customizável e pode ser redefinida para evitar a localização de falsos positivos ou detalhes que possam parecer perigosos aos olhos do sistema, mas são considerados normais. Além disso, o GitHub considera esta como uma ferramenta interessante para educar desenvolvedores sobre os riscos no uso de códigos e indicar mais facilmente as regras do que pode ou não ser passado para a produção.

O sistema de notificação sobre a presença de segredos e credenciais fica disponível a todos os desenvolvedores até janeiro, ainda em estágio Beta. Já o Push Protection faz parte do programa GitHub Advanced Security, uma licença focada em contas corporativas que traz recursos adicionais de proteção para os códigos disponibilizados.