GitHub a activé la protection push par défaut pour tous les référentiels publics afin d’éviter l’exposition accidentelle de secrets tels que des jetons d’accès et des clés d’API lors de l’envoi d’un nouveau code.

L’annonce d’aujourd’hui intervient après que la société a introduit la protection push en version bêta il y a près de deux ans, en avril 2022, comme un moyen simple d’empêcher automatiquement les fuites d’informations sensibles. La fonctionnalité est devenue généralement disponible pour tous les dépôts publics en mai 2023.

La protection push empêche de manière proactive les fuites en recherchant les secrets avant que les opérations « git push » ne soient acceptées et en bloquant les validations lorsqu’un secret est détecté.

GitHub indique que la fonction d’analyse secrète empêche automatiquement les secrets de fuir en détectant plus de 200 types et modèles de jetons de plus de 180 fournisseurs de services (clés API, clés privées, clés secrètes, jetons d’authentification, jetons d’accès, certificats de gestion, informations d’identification, etc.).

« Cette semaine, nous avons commencé le déploiement de la protection push pour tous les utilisateurs. Cela signifie que lorsqu’un secret pris en charge est détecté dans une poussée vers un référentiel public, vous aurez la possibilité de supprimer le secret de vos commits ou, si vous jugez le secret sûr, de contourner le blocage », ont déclaré Eric Tooley et Courtney Claessens de GitHub.

« Cela peut prendre une semaine ou deux pour que ce changement s’applique à votre compte; vous pouvez vérifier le statut et vous inscrire tôt dans les paramètres de sécurité et d’analyse du code. »

Même avec la protection push activée par défaut pour tous les dépôts publics, les utilisateurs de GitHub peuvent contourner le bloc de validation automatisé. Bien que cela ne soit pas recommandé, ils peuvent désactiver complètement la protection push dans leurs paramètres de sécurité.

La protection contre les poussées en action

Les organisations abonnées au plan GitHub Enterprise peuvent utiliser GitHub Advanced Security, qui protège les informations sensibles dans des référentiels privés. Cela ajoute également une suite d’autres fonctionnalités d’analyse secrète, ainsi que l’analyse de code, des suggestions de code pilotées par l’IA et d’autres fonctionnalités de sécurité des applications statiques (SAST).

« Les fuites accidentelles de clés API, de jetons et d’autres secrets risquent des failles de sécurité, des atteintes à la réputation et une responsabilité légale à une échelle ahurissante », ont déclaré Tooley et Claessens.

« Au cours des huit premières semaines de 2024, GitHub a détecté plus d’un million de secrets divulgués sur des référentiels publics. C’est plus d’une douzaine de fuites accidentelles chaque minute. »

Plus de détails sur l’utilisation de la protection push à partir de la ligne de commande ou sur l’autorisation de pousser certains secrets sont disponibles sur cette page de documentation de GitHub.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *