De dienst is ontworpen om gelekte informatie te detecteren in de gehele publicatiegeschiedenis van een repository, inclusief gevoelige gegevens zoals API-sleutels, accountwachtwoorden, authenticatietokens en andere vertrouwelijke informatie die aanvallers kunnen gebruiken om netwerken te doorbreken, gegevens te stelen of zich voor te doen als een bedrijf.
Volgens GitHub zoeken bedreigingsactoren vaak naar authenticatiegeheimen in openbare repositories om kwaadaardige activiteiten uit te voeren. Sinds december 2022 heeft het platform een bètaversie van zijn gratis geheime scanfunctie uitgerold naar alle openbare repositories.
De functie scant op meer dan 200 tokenformaten om ontwikkelaars te helpen bij het vinden van toevallige openbare blootstelling van gevoelige gegevens en is gebruikt door 70.000 openbare repositories.
Waarschuwingen
Met de algemene beschikbaarheid kunnen alle eigenaren en beheerders van openbare repositories waarschuwingen inschakelen om hun gegevens te beveiligen. De waarschuwingen zullen repository-eigenaren van gelekte geheime incidenten en meer dan 100 geheime scanpartners informeren over blootgestelde geheimen, zodat zij het authenticatietoken kunnen intrekken en hun klanten op de hoogte kunnen stellen. In gevallen waarin het onmogelijk is om een betrokken partner te bereiken, zou de waarschuwing aan de beheerder genoeg moeten zijn om ervoor te zorgen dat de blootgestelde geheimen uit de openbare repositories worden verwijderd.
GitHub haalt het voorbeeld aan van DevOps Consultant en Trainer @rajbos om de kracht van de geheimen scanner en waarschuwingen aan te tonen. De ontwikkelaar schakelde de functie in op 13.954 openbare GitHub Action repositories en vond geheimen op 1110 daarvan (7,9 procent).
“Hoewel ik veel mensen train in het gebruik van GitHub Advanced Security, vond ik hierdoor geheimen in mijn eigen repositories,” gaf Rob Bos toe. “Ondanks meerdere jaren ervaring overkomt het mezelf ook. Zo makkelijk is het om per ongeluk geheimen op te nemen.”
Hoe schakel je de functie in?
Om waarschuwingen voor geheimen scannen in te schakelen, kan elke GitHub-gebruiker die een publieke repository beheert, dit eenvoudig doen door het tabblad “Settings” te openen, op de optie “Code security and analysis” te klikken onder het gedeelte Beveiliging, en dan op “Enable” te klikken op “Secret Scanning” onderaan de pagina.
In het algemeen is de scandienst essentieel voor ontwikkelaars om hun gevoelige informatie te beschermen en kwaadaardige activiteiten te voorkomen. Met de beschikbaarheid ervan in alle openbare repositories, kunnen ontwikkelaars gemoedsrust hebben in de wetenschap dat ze gemakkelijk potentiële bedreigingen voor hun gegevens kunnen detecteren en verwijderen.
Lees ook: GitHub Copilot krijgt grote update om codeerervaring te verbeteren