Ранее эта функция была доступна только корпоративным клиентам сервиса, оформившим подписку GitHub Advanced Security. Сейчас GitHub сообщил о том, что сканирование репозиториев на наличие секретных данных в коде станет общедоступным для всех пользователей.
GitHub позволит бесплатно отслеживать любые случайные утечки секретных данных (например, информацию по учетным записям или токенам аутентификации) во всех общедоступных репозиториях. Сервис будет сканировать репозитории на наличие более 200 форматов токенов, а затем предупредит пользователя об утечке секретных данных в его исходном коде. Сейчас эта функция запущена в бете, полноценная версия заработает к концу января 2023 года.
Включение оповещений в Secret scanning
Команда GitHub отмечает, что в 2022 году компания отправила своим партнерам более 1,7 млн уведомлений о потенциальных секретах, которые были раскрыты в общедоступных репозиториях.
Еще одна новость, связанная с GitHub, – требование для всех пользователей, которые добавляют код на GitHub.com, включить 2FA к концу 2023 года. Это еще одна ступень к повышению безопасности пользовательских данных на сервисе. Введение обязательной двухфакторной аутентификации будет постепенным: с марта 2023 года GitHub распространит это требование на отдельные группы пользователей, затем проанализирует эффективность и перейдет в глобальному внедрению для более крупных групп.
В GitHub объясняют, что большие группы пользователей будут сформированы исходя из таких критериев, как:
- пользователи, опубликовавшие приложения или пакеты GitHub или OAuth;
- пользователи, создавшие релиз;
- пользователи, являющиеся администраторами предприятий и организаций;
- также пользователи, которые внесли код в репозитории, признанные критическими npm, OpenSSF, PyPI или RubyGems;
- и пользователи, которые внесли код в 4 млн наиболее популярных общедоступных и частных репозиториев.
Ранее в GitHub была реализована поддержка нового вида токенов (публичная бета-версия), которые позволят настраивать доступ и выборочно определять права конкретного разработчика или скрипта.
Комментарии