Сервис GitHub включил защиту от попадания в публичный репозиторий приватных сведений для всех – сервис объявил, что теперь этот механизм работает по умолчанию.
Иногда разработчики оставляют в коде конфиденциальную информацию – пароли к СУБД, ключи к API, токены, сертификаты. По данным GitHub, за первые несколько недель 2024 года на сервисе было выявлено более 1 млн утечек в публичных репозиториях: это 10+ случайных утечек ежеминутно.
Система push protection была представлена в апреле 2022 года, тогда она была доступна в GitHub Advanced Security для некоторых организаций. С августа 2023 года все пользователи GitHub cloud могли подписаться на эту функцию, а сейчас GitHub сделал эту опцию безопасности включенной по умолчанию для всех публичных репозиториев.
Теперь сервис автоматически будет проверять перед отправкой коммиты на секретные данные – если они будут обнаружены, пользователь увидит предупреждение: информацию можно будет удалить или, если юзер сочтет ее безопасной, обойти блокировку.
Новая функция будет внедрена в течение двух недель. При желании пользователи GitHub смогут отключить ее вручную.
Изображение на обложке: Unsplash
Комментарии