Το GitHub προσφέρει μυστική σάρωση δωρεάν

Το GitHub προσφέρει μυστική σάρωση δωρεάν

Dezember 24, 2022 0 Von admin
Λογότυπο GitHub στην οθόνη του smartphone και του φορητού υπολογιστή.
Εικόνα: prima91/Adobe Stock

Η υπηρεσία φιλοξενίας Διαδικτύου ανοιχτού κώδικα της Microsoft που βασίζεται στο Git για προγραμματιστές λογισμικού επεκτείνει τη δική της μυστική σάρωση πρόγραμμα συνεργατών. Μέχρι στιγμής, αυτή η υπηρεσία ήταν διαθέσιμη μόνο στους χρήστες του GitHub Advanced Security. Με αυτήν την προκαταβολή, θα είναι ανοιχτό σε όλα τα δημόσια αποθετήρια δωρεάν.

Το πρόγραμμα, που σαρώνει τα αποθετήρια για περισσότερες από 200 μορφές διακριτικών, επιτρέπει στους προγραμματιστές να παρακολουθούν τυχόν μυστικά που εκτίθενται δημόσια στο δημόσιο αποθετήριο GitHub τους. Φέτος, με πάνω από 94 εκατομμύρια προγραμματιστές στα αποθετήρια του, το πρόγραμμα βρήκε πάνω από 1,7 εκατομμύρια πιθανά μυστικά εκτεθειμένα.

Σε ένα blogτο GitHub είπε ότι τα εκτεθειμένα μυστικά και τα διαπιστευτήρια, η πιο κοινή αιτία παραβίασης δεδομένων, έχουν χρόνο παραμονής 327 ημερών κατά μέσο όρο πριν εντοπιστούν.

Η Mariam Sulakian, διευθύντρια προϊόντων GitHub εξήγησε ότι το GitHub πάντα σαρώνει όλα τα δημόσια αποθετήρια για μυστικά και στέλνει ανιχνεύσεις στους συνεργάτες του από προεπιλογή.

«Τώρα, οι πελάτες μας μπορούν επίσης να ενεργοποιήσουν μια μυστική εμπειρία σάρωσης εντός του προϊόντος για την παρακολούθηση της αποκατάστασης για τυχόν εκθέσεις στα δημόσια αποθετήρια τους», είπε. «Οι χρήστες μπορούν να δουν ειδοποιήσεις για εντοπισμένα μυστικά στην καρτέλα ασφαλείας ενός αποθετηρίου. Κάθε ειδοποίηση θα περιέχει πληροφορίες σχετικά με το παραβιασμένο μυστικό, συμπεριλαμβανομένων των προτεινόμενων βημάτων αποκατάστασης, της τοποθεσίας του και ένα χρονοδιάγραμμα των ενεργειών που λαμβάνονται κατά την ειδοποίηση.

Πρόσθεσε ότι το GitHub εντοπίζει πάνω από 4.500 πιθανά μυστικά που διαρρέουν σε δημόσια αποθετήρια κάθε μέρα και στέλνει ανιχνεύσεις στους 100+ συνεργάτες παρόχων υπηρεσιών του.

«Τώρα, αναδεικνύουμε επίσης αυτά τα ευρήματα στους χρήστες για να παρακολουθούν τις εκθέσεις στα δικά τους αποθετήρια», είπε.

ΒΛΕΠΩ: Κιτ πρόσληψης: προγραμματιστής Python (TechRepublic Premium)

Οι διαρροές μπορούν να συμβούν με διάφορους τρόπους, σύμφωνα με τον Sulakian:

  • Τα μυστικά μπορεί να διαρρεύσουν σε περίπτωση ατυχήματος, π.χ. εάν ένας προγραμματιστής χρησιμοποιήσει τα διαπιστευτήριά του για μια γρήγορη δοκιμή για τον εντοπισμό σφαλμάτων και, στη συνέχεια, ξεχάσει να αφαιρέσει αυτά τα διαπιστευτήρια προτού δεσμεύσει και προωθήσει τον κώδικά του.
  • Μυστικά μπορούν επίσης να μείνουν στο ιστορικό git commit. Ας υποθέσουμε ότι ένας διαχειριστής «αποκαθιστά» τις διαρροές και αφαιρεί το μυστικό από τον κύριο κλάδο, αλλά δεν καθαρίζει ολόκληρο το ιστορικό git.
  • Τα μυστικά μπορεί να διαρρεύσουν σκόπιμα. «Φανταστείτε ότι ένας μαθητής ή ένας αρχάριος προγραμματιστής αφήνει το μυστικό του στον πηγαίο κώδικα, χωρίς να γνωρίζει τον πιθανό αντίκτυπο μιας διαρροής», είπε.

Μυστική σάρωση δωρεάν σε όλα τα δημόσια repos

Επί του παρόντος, το GitHub συνεργάζεται με παρόχους υπηρεσιών για την επισήμανση διαπιστευτηρίων που έχουν διαρρεύσει σε όλα τα δημόσια repos μέσω του προγράμματος συνεργατών μυστικής σάρωσης. Η νέα έκδοση δίνει στους προγραμματιστές ανοιχτού κώδικα δωρεάν πρόσβαση στις ειδοποιήσεις σχετικά με μυστικά που διέρρευσαν σε κώδικα — δίνοντάς τους τη δυνατότητα να προσδιορίζουν την πηγή της διαρροής, να παρακολουθούν εύκολα τις ειδοποιήσεις και να αναλαμβάνουν δράση (Εικόνα Α).

Εικόνα Α

Πώς να ενεργοποιήσετε τη μυστική σάρωση για ένα έργο στο GitHub.
Εικόνα: GitHub. Πώς να ενεργοποιήσετε τη μυστική σάρωση για ένα έργο στο GitHub.

Το GitHub ξεκίνησε τη μυστική σάρωση για δημόσια αποθετήρια ως beta αυτόν τον μήνα. Οι χρήστες πρέπει να την ενεργοποιήσουν εντός των ρυθμίσεων ασφαλείας της πλατφόρμας, αλλά η διάθεση της υπηρεσίας θα είναι προοδευτική με πλήρη διαθεσιμότητα σε όλους τους χρήστες έως τα τέλη Ιανουαρίου 2023.

Προστασία ώθησης για προσαρμοσμένα μοτίβα

Το GitHub εισήγαγε την προστασία push στους πελάτες του GitHub Advanced Security τον Απρίλιο του 2022 για να αποτρέψει προληπτικά τις διαρροές σαρώνοντας μυστικά προτού δεσμευτούν. Από τότε ο Σουλακιάν και ο Μαλίκ έγραψε ξανάτο χαρακτηριστικό έχει αποτρέψει περισσότερες από 8.000 μυστικές διαρροές σε 100 μυστικούς τύπους (Εικόνα Β).

Εικόνα Β

Λήψη οθόνης ανάλυσης ασφαλείας και δυνατότητα ενεργοποίησης ειδοποίησης στο GitHub.
Εικόνα: GitHub. Λήψη οθόνης ανάλυσης ασφαλείας και δυνατότητα ενεργοποίησης ειδοποίησης στο GitHub.

Τώρα, σύμφωνα με το GitHub, οι οργανισμοί που έχουν ορίσει προσαρμοσμένα μοτίβα μπορούν να ενεργοποιήσουν την προστασία push για αυτά τα μοτίβα. Εξήγησαν ότι η προστασία ώθησης για προσαρμοσμένα μοτίβα μπορεί να διαμορφωθεί ανά μοτίβο.

«Ακριβώς όπως μπορείτε ήδη να επιλέξετε ποια μοτίβα θα δημοσιεύσετε (και ποια να κάνετε πρώτα πιο συγκεκριμένη σε πρόχειρη λειτουργία), μπορείτε να αποφασίσετε ποια μοτίβα θα προωθήσετε την προστασία, βάσει ψευδών θετικών στοιχείων», είπε η εταιρεία.

ΒΛΕΠΩ: Ο ανοιχτός κώδικας για εμπορικές εφαρμογές λογισμικού είναι πανταχού παρών, αλλά και ο κίνδυνος (TechRepublic)

Με τη νέα δυνατότητα, οι οργανισμοί με το GitHub Advanced Security έχουν πρόσθετη κάλυψη για τα πιο σημαντικά μυστικά μοτίβα τους — αυτά που προσαρμόζονται και ορίζονται εσωτερικά στους οργανισμούς τους.

Το νέο πρόγραμμα επιτρέπει στους παρόχους υπηρεσιών να συνεργάζονται με το GitHub για να διασφαλίζουν τις μυστικές μορφές διακριτικών τους μέσω σάρωσης, η οποία αναζητά τυχαίες δεσμεύσεις μυστικών μορφών. Στη συνέχεια, μπορεί να σταλεί στο τελικό σημείο επαλήθευσης ενός παρόχου υπηρεσιών.

Πώς λειτουργούν τα μυστικά και τα διακριτικά στο GitHub

Στο GitHub, τα «μυστικά» επιτρέπουν στους προγραμματιστές να ελέγχουν την ταυτότητα της εκτέλεσης της ροής εργασίας τους. Όταν ένας προγραμματιστής ξεκινά ένα έργο GitHub, το GitHub δημιουργεί αυτόματα ένα μοναδικό «μυστικό» GITHUB_TOKEN, το οποίο επιτρέπει στον προγραμματιστή να έχει πρόσβαση στις Εφαρμογές GitHub που είναι εγκατεστημένες στο χώρο αποθήκευσης του προγραμματιστή. Το GITHUB_TOKEN λήγει όταν τελειώσει μια εργασία ή μετά από 24 ώρες το πολύ. Εάν ένα έργο GitHub επικοινωνεί με μια εξωτερική υπηρεσία, ο κάτοχος μπορεί να χρησιμοποιήσει ένα διακριτικό ή ιδιωτικό κλειδί για έλεγχο ταυτότητας.

Τόσο τα διακριτικά όσο και τα ιδιωτικά κλειδιά είναι μυστικά που μπορεί να εκδώσει ένας πάροχος υπηρεσιών. Εάν ένας χρήστης ελέγξει ένα μυστικό σε ένα αποθετήριο, οποιοσδήποτε έχει πρόσβαση ανάγνωσης στο χώρο αποθήκευσης μπορεί να χρησιμοποιήσει το μυστικό για πρόσβαση στην εξωτερική υπηρεσία με τα προνόμια του χρήστη. Το GitHub συνιστά στους χρήστες να αποθηκεύουν μυστικά σε μια αποκλειστική, ασφαλή τοποθεσία έξω από το αποθετήριο για το έργο τους.

Ο Sulakian εξήγησε ότι ένα έργο GitHub μπορεί να συνδεθεί με αμέτρητες εξωτερικές υπηρεσίες — και οι περισσότερες συνδέονται σε μία ή περισσότερες.

«Οι προγραμματιστές μπορεί, για παράδειγμα, να χρησιμοποιήσουν Slack tokens για να δημιουργήσουν bots που βοηθούν στην αυτοματοποίηση των διαδικασιών», είπε. «Εάν διαρρεύσουν, αυτά τα διακριτικά μπορούν να δώσουν σε μη εξουσιοδοτημένο χρήστη πρόσβαση στην εφαρμογή Slack που σχετίζεται με το διακριτικό. Στόχος μας είναι να προστατεύσουμε όλες τις υπηρεσίες με τις οποίες αλληλεπιδρούν οι προγραμματιστές και οι ομάδες και καλωσορίζουμε πάντα περισσότερους συνεργάτες για να βοηθήσουμε στην ασφάλεια των κοινών μας χρηστών».

Ενδιαφέρεστε να κάνετε το επόμενο βήμα προς την κατανόηση κωδικοποίησης για την ανάπτυξη παιχνιδιών; Ολοκλήρωση παραγγελίας The Ultimate Learn to Code Training.