GitHub bloque désormais automatiquement la fuite d’informations sensibles telles que les clés API et les jetons d’accès pour tous les référentiels de code publics.
L’annonce d’aujourd’hui intervient après que la société a introduit la protection push en version bêta il y a plus d’un an, en avril 2022.
Cette fonctionnalité empêche de manière proactive les fuites en analysant les secrets avant que les opérations ‘git push’ ne soient acceptées, et elle fonctionne avec 69 types de jetons (clés API, clés privées, clés secrètes, jetons d’authentification, jetons d’accès, certificats de gestion, informations d’identification, etc.) détectables avec un faible taux de détection de « faux positifs ».
« Si vous poussez un commit contenant un secret, une invite de protection push apparaîtra avec des informations sur le type de secret, l’emplacement et la manière de remédier à l’exposition », a déclaré GitHub aujourd’hui.
« La protection push ne bloque que les secrets avec de faibles taux de faux positifs, donc lorsqu’un commit est bloqué, vous savez que cela vaut la peine d’enquêter. »
Depuis sa version bêta, les développeurs de logiciels qui l’ont activé ont réussi à éviter environ 17 000 expositions accidentelles d’informations sensibles, économisant plus de 95 000 heures qui auraient été consacrées à révoquer, faire pivoter et corriger des secrets compromis, selon GitHub.
Alors qu’avant aujourd’hui, cette fonctionnalité ne pouvait être activée que pour les référentiels privés par des organisations disposant d’une licence GitHub Advanced Security, GitHub l’a désormais également rendue généralement disponible sur tous les référentiels publics.
« Aujourd’hui, la protection push est généralement disponible pour les référentiels privés avec une licence GitHub Advanced Security (GHAS) », a déclaré la société.
« De plus, pour aider les développeurs et les mainteneurs à travers l’open source à sécuriser leur code de manière proactive, GitHub rend la protection push gratuite pour tous les référentiels publics. »
Comment activer la protection push de l’analyse secrète
Les organisations disposant de GitHub Advanced Security peuvent activer la fonction de protection push par analyse secrète au niveau du référentiel et de l’organisation via l’API ou en un seul clic depuis l’interface utilisateur.
La procédure détaillée d’activation de la protection push pour votre organisation nécessite que vous :
- Sur GitHub.com, accédez à la page principale de l’organisation.
- Sous le nom de votre organisation, cliquez sur Paramètres.
- Dans la section « Sécurité » de la barre latérale, cliquez sur Sécurité et analyse du code.
- Sous « Configurer la sécurité et l’analyse du code », recherchez « GitHub Advanced Security ».
- Sous « Analyse secrète », cliquez sur Tout activer à côté de « Protection push ».
- Si vous le souhaitez, cliquez sur « Activer automatiquement pour les référentiels privés ajoutés à l’analyse secrète ».
Il peut également être activé pour des référentiels uniques en le basculant depuis la boîte de dialogue Paramètres > Sécurité et analyse > GitHub Advanced Security de chaque référentiel.
Plus de détails sur l’utilisation de la protection push à partir de la ligne de commande ou sur l’autorisation de pousser certains secrets sont disponibles sur le site de documentation de GitHub.
Les informations d’identification et les secrets exposés ont conduit à des violations à fort impact ces dernières années, comme l’a déjà signalé Breachtrace [1, 2, 3].
Par conséquent, activer la protection push pour les dépôts privés ou gratuitement sur les dépôts publics pour s’assurer que les poussées de code sont automatiquement bloquées si elles contiennent des secrets est un moyen simple de se défendre contre les fuites accidentelles avec des impacts potentiellement massifs.