GitHub wil developers gratis helpen bij vinden van secrets en credentials in repositories.
De nieuwe dienst werd deze week in een tweet aangekondigd. De technologie identificeert blootgestelde secrets en credentials.
Product managers Mariam Salakian en Zain Malik beschreven de introductie in een blogpost. “Secrets en credentials zijn de meest voorkomende oorzaak van datalekken. Het duurt gemiddeld 327 dagen voordat dergelijke datalekken worden ontdekt. Secrets en credentials kunnen duidelijk tot ernstige gevolgen leiden.”
GitHub werkt reeds samen met partners om gelekte credentials op openbare repositories te vinden. De organisatie beweert dat de bestaande technologie meer dan 200 token formats herkent. “In 2022 hebben we onze partners op de hoogte gebracht van meer dan 1,7 miljoen potentiële secrets die in openbare repositories waren blootgesteld”, aldus Salakian en Malik.
GitHub secret scanning
In de blogpost legden de product managers uit hoe het nieuwe scanproces werkt. “Secret scanning-alerts stellen je direct op de hoogte van blootgestelde gegevens in code. We blijven onze partners waarschuwen om je zo snel mogelijk te beschermen, maar nu kun je ook zelf de beveiliging van repositories in handen hebben.”
Een bijkomstig voordeel is dat gebruikers waarschuwingen ontvangen in gevallen waar partner niets kunnen betekenen. Bijvoorbeeld wanneer de sleutel van een self-managed HashiCorp Vault-omgevingen wordt blootgesteld. De dienst stelt gebruikers in staat om waarschuwingen te tracken, de bron van een incident te onderzoeken en actie te ondernemen.
De openbare bèta wordt sinds deze week uitgerold. GitHub verwacht dat de dienst tegen eind januari 2023 voor alle gebruikers beschikbaar is.
Tip: GitHub verplicht tweestapsverificatie voor alle gebruikers in 2023
15 minuten geleden
