GitHub запускает функцию Secret scanning для всех пользователей

1 комментарий
GitHub запускает функцию бесплатного сканирования репозиториев на наличие секретов

Ранее эта функция была доступна только корпоративным клиентам сервиса, оформившим подписку GitHub Advanced Security. Сейчас GitHub сообщил о том, что сканирование репозиториев на наличие секретных данных в коде станет общедоступным для всех пользователей. 

GitHub позволит бесплатно отслеживать любые случайные утечки секретных данных (например, информацию по учетным записям или токенам аутентификации) во всех общедоступных репозиториях. Сервис будет сканировать репозитории на наличие более 200 форматов токенов, а затем предупредит пользователя об утечке секретных данных в его исходном коде. Сейчас эта функция запущена в бете, полноценная версия заработает к концу января 2023 года. 

Включение оповещений в Secret scanning 

Включение оповещений в Secret scanning 

Команда GitHub отмечает, что в 2022 году компания отправила своим партнерам более 1,7 млн уведомлений о потенциальных секретах, которые были раскрыты в общедоступных репозиториях.

Еще одна новость, связанная с GitHub, – требование для всех пользователей, которые добавляют код на GitHub.com, включить 2FA к концу 2023 года. Это еще одна ступень к повышению безопасности пользовательских данных на сервисе. Введение обязательной двухфакторной аутентификации будет постепенным: с марта 2023 года GitHub распространит это требование на отдельные группы пользователей, затем проанализирует эффективность и перейдет в глобальному внедрению для более крупных групп.

В GitHub объясняют, что большие группы пользователей будут сформированы исходя из таких критериев, как:

  • пользователи, опубликовавшие приложения или пакеты GitHub или OAuth;
  • пользователи, создавшие релиз;
  • пользователи, являющиеся администраторами предприятий и организаций;
  • также пользователи, которые внесли код в репозитории, признанные критическими npm, OpenSSF, PyPI или RubyGems;
  • и пользователи, которые внесли код в 4 млн наиболее популярных общедоступных и частных репозиториев.

Ранее в GitHub была реализована поддержка нового вида токенов (публичная бета-версия), которые позволят настраивать доступ и выборочно определять права конкретного разработчика или скрипта. 

Если человек настраивает сервер, это не новость; новость – если сервер настраивает человека.
Новый подкаст от Timeweb

Комментарии

underground +786
19 дек в 2022
Понятно, что ничего не понятно. Код - понятно. Практическая польза сомнительна, поскольку искать секреты не машинным способом - на это уйдут годы.
Ваш баланс 10 ТК
1 ТК = 1 ₽
О том, как заработать и потратить Таймкарму, читайте в этой статье
Чтобы потратить Таймкарму, зарегистрируйтесь на нашем сайте
С помощью соцсетей
У меня нет аккаунта Зарегистрироваться
Нажимая кнопку «Зарегистрироваться», я даю согласие на обработку своих персональных данных, указанных в форме регистрации.
С помощью соцсетей
У меня уже есть аккаунт Войти
Нажимая кнопку «Зарегистрироваться», я даю согласие на обработку своих персональных данных, указанных в форме регистрации.
Инструкции по восстановлению пароля высланы на Ваш адрес электронной почты.
Пожалуйста, укажите email вашего аккаунта
Войти в Комьюнити
Регистрация в Комьюнити
Восстановление пароля