GitHub a annoncé que son service d’alertes d’analyse secrète est désormais généralement disponible pour tous les référentiels publics et peut être activé pour détecter les fuites de secrets sur l’ensemble d’un historique de publication.
Les secrets sont des données sensibles ajoutées accidentellement aux référentiels GitHub, y compris les clés API, les mots de passe de compte, les jetons d’authentification et d’autres données confidentielles qui peuvent permettre aux attaquants d’effectuer des failles de sécurité ou d’accéder à des données non publiques.
Les auteurs de menaces recherchent généralement dans les référentiels publics GitHub des secrets d’authentification pour violer les réseaux, voler des données ou usurper l’identité de l’entreprise dans leurs propres attaques.
En décembre 2022, GitHub a commencé à déployer une version bêta d’une fonction d’analyse secrète gratuite sur tous les référentiels publics qui analysent plus de 200 formats de jetons pour aider les développeurs à détecter l’exposition publique accidentelle de données sensibles. Depuis lors, 70 000 référentiels publics ont activé la nouvelle fonctionnalité.
Aujourd’hui, GitHub a annoncé que le service est désormais généralement disponible et que tous les propriétaires/administrateurs de référentiels publics peuvent activer les alertes d’analyse secrètes pour sécuriser leurs données.
« A partir d’aujourd’hui, l’expérience d’alerte de l’analyse secrète de GitHub est généralement disponible et gratuite pour tous les référentiels publics », lit-on dans l’annonce de GitHub.
« Vous pouvez activer les alertes d’analyse secrète dans tous les référentiels que vous possédez pour vous informer des fuites de secrets dans l’historique complet de votre référentiel, y compris le code, les problèmes, la description et les commentaires. »
En plus d’informer les propriétaires du référentiel des incidents de fuite de secrets, GitHub continuera d’informer ses plus de 100 partenaires d’analyse secrète des secrets exposés afin qu’ils puissent révoquer le jeton d’authentification et informer leurs clients.
S’il est impossible de joindre un partenaire concerné, l’alerte à l’administrateur devrait suffire à s’assurer que les secrets exposés sont supprimés des dépôts publics.
La plate-forme d’hébergement de code utilise l’exemple du consultant et formateur DevOps @rajbos pour mettre en évidence la puissance du scanner secret et des alertes. Le développeur dit avoir activé la fonctionnalité sur 13 954 référentiels publics GitHub Action et trouvé des secrets sur 1 110 d’entre eux (7,9 %).
« Même si je forme beaucoup de gens à l’utilisation de GitHub Advanced Security, j’ai trouvé des secrets dans mes propres référentiels grâce à cela », admet Rob Bos.
« Malgré plusieurs années d’expérience, cela m’arrive aussi. C’est tellement facile d’inclure des secrets par erreur. »
Tout utilisateur GitHub administrant un référentiel public peut facilement activer les alertes d’analyse secrète en ouvrant l’onglet « Paramètres », en cliquant sur l’option « Sécurité et analyse du code » sous la section Sécurité, puis en cliquant sur « Activer » sur « Analyse secrète » en bas. de la page.
