Élesedett a GitHub egyik biztonsági szolgáltatása

​A GitHub egyik biztonsági megoldása minden nyilvános repo számára ingyenesen elérhetővé vált.
 

A GitHub az úgynevezett Secret Scanning Alerts Service nevű szolgáltatásának első nyilvános tesztverzióját tavaly decemberben jelentette be. Az azóta eltelt időben körülbelül 70 ezer repo került a megoldás védelmi szárnyai alá. A fejlesztők pedig javították a hibákat, optimalizálták a rendszert, amely végül alkalmassá vált az éles bevetésre. 

A szolgáltatás célja, hogy segítséget nyújtson a fejlesztők számára az egyes projektjeikhez kapcsolódóan a GitHubra (általában véletlenül vagy figyelmetlenségből) feltöltött bizalmas, titkos adatok kiszűrésében. Ennek pedig fontosabb szerepe van, mint az elsőre látszik, ugyanis a kiberbűnözők előszeretettel keresgélik a forráskódokban felejtett bizalmas információkat. Ilyenek lehetnek például a titkos API-kulcsok, tokenek, jelszavak stb. 

A GitHub új szolgáltatásának fontos jellemzője, hogy nem kizárólag az aktuális forráskódokban igyekszik feltárni az oda nem való adatokat, hanem a teljes verziótörténetet végig ellenőrzi, sőt még a kódok kapcsán tett hibabejelentéseket és kommenteket is szemügyre veszi. Ha pedig gyanús adatot detektál, akkor riasztást küld az érintett fejlesztőnek. Az ellenőrzések során a rendszer több mint 200 előre definiált minta alapján keresi a bizalmas adatokat. 

A szolgáltatással kapcsolatos első visszajelzések alapvetően pozitívak. Volt olyan teszt, amelynek során 14 ezer repoból 1100-ról derült ki (7,9%), hogy oda nem való adatot is tartalmaz.

A Secret Scanning Alerts Service alapértelmezetten kikapcsolt állapotban van, így azt manuálisan kell engedélyezni az élesítéshez. 
Vélemények
 
  1. 4

    A cURL több biztonsági hiba miatt szorul frissítésre.

  2. 3

    Az OpenSSH fejlesztői két biztonsági rendellenességről számoltak be.

  3. 1

    ​A Hermwiz féreg meglehetősen gyorsan képes terjedni a helyi hálózatokban.

 
Partnerhírek
​ChatGPT mint fegyver?

Az ESET szerint elhárulnak a nyelvi akadályok a csalók elől, de azért marad 10 árulkodó jel.

Folytatják kibertámadásaikat az orosz hackercsoportok

Az Oroszországhoz köthető APT-csoportok folyamatosan indítják kibertámadásaikat Ukrajna ellen törlőprogramok és zsarolóvírusok felhasználásával.

hirdetés
Közösség