GitHub a annoncé des mises à jour de sa plate-forme de sécurité avancée après avoir détecté plus de 39 millions de secrets divulgués dans des référentiels en 2024, y compris des clés d’API et des informations d’identification, exposant les utilisateurs et les organisations à de graves risques de sécurité.

Dans un nouveau rapport de GitHub, la société de développement indique que les 39 millions de secrets ont été découverts grâce à son service d’analyse secrète, une fonctionnalité de sécurité qui détecte les clés API, les mots de passe, les jetons et autres secrets dans les référentiels.

« Les fuites secrètes restent l’une des causes les plus courantes—et évitables—d’incidents de sécurité », lit-on dans l’annonce de GitHub.

« Alors que nous développons du code plus rapidement que jamais auparavant imaginable, nous divulguons également des secrets plus rapidement que jamais. »

Cela se produit malgré les mesures de protection ciblées de GitHub comme la « Protection Push », qui a été introduite en avril 2022 et a été activée par défaut sur tous les référentiels publics en février 2024.

Selon GitHub, les principales raisons pour lesquelles les secrets continuent de fuir sont la priorisation de la commodité par les développeurs qui gèrent les secrets lors des validations et l’exposition accidentelle du référentiel via l’historique git.

GitHub réorganise la sécurité avancée
GitHub a annoncé plusieurs nouvelles mesures et améliorations aux systèmes existants pour atténuer les fuites secrètes sur la plate-forme.

« À ce jour, nos produits de sécurité sont disponibles à l’achat en tant que produits autonomes pour les entreprises, ce qui permet aux équipes de développement de faire évoluer rapidement la sécurité », a expliqué GitHub.

« Auparavant, investir dans l’analyse secrète et la protection push nécessitait l’achat d’une plus grande suite d’outils de sécurité, ce qui la rendait trop coûteuse pour de nombreuses organisations.

« Ce changement garantit une sécurité évolutive avec une protection secrète et la sécurité du code n’est plus hors de portée pour de nombreuses organisations. »

Les modifications de sécurité avancées de GitHub sont résumées comme suit:

  1. Protection secrète autonome et Sécurité du code-Désormais disponibles en tant que produits distincts, ces outils ne nécessitent plus de licence GitHub Advanced Security complète, ce qui les rend plus abordables pour les petites équipes.
  2. Évaluation gratuite des risques secrets à l’échelle de l’organisation-Une analyse ponctuelle qui vérifie tous les référentiels (publics, privés, internes et archivés) pour les secrets exposés, gratuite pour toutes les organisations GitHub.
  3. Protection push avec contrôles de contournement délégués-La protection push améliorée recherche les secrets avant que le code ne soit poussé et permet aux organisations de définir qui peut contourner la protection, en ajoutant un contrôle au niveau de la stratégie.
  4. Détection de secrets alimentée par Copilot-GitHub utilise désormais l’IA via Copilot pour détecter les secrets non structurés tels que les mots de passe, améliorant ainsi la précision et réduisant les faux positifs.
  5. Détection améliorée via des partenariats avec des fournisseurs de cloud – GitHub travaille avec des fournisseurs tels qu’AWS, Google Cloud et OpenAI pour créer des détecteurs secrets plus précis et réagir plus rapidement aux fuites.

Outre les initiatives et améliorations de GitHub, les utilisateurs reçoivent également une liste d’actions recommandées pour se protéger des fuites secrètes.

Tout d’abord, il est suggéré d’activer la protection Push au niveau du référentiel, de l’organisation ou de l’entreprise pour bloquer les secrets avant qu’ils ne soient poussés vers un référentiel.

GitHub souligne également l’importance de réduire le risque en éliminant complètement les secrets codés en dur du code source, au lieu d’utiliser des variables d’environnement, des gestionnaires de secrets ou des coffres-forts pour les stocker.

La plate-forme suggère d’utiliser des outils qui s’intègrent aux pipelines CI/CD et aux plates-formes cloud pour gérer les secrets par programmation, réduisant ainsi les interactions humaines susceptibles d’introduire des erreurs et une exposition.

Enfin, il est recommandé aux utilisateurs de GitHub de consulter le guide des « Meilleures pratiques » et de s’assurer qu’ils gèrent correctement les secrets de bout en bout.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *