Mais de 39 milhões de chaves de API, credenciais e outros dados secretos vazaram do GitHub no ano passado, expondo usuários e organizações a riscos de segurança. A informação foi publicada pela própria plataforma, ao anunciar atualizações em sua plataforma Advanced Security. A plataforma bloqueia automaticamente “vários segredos a cada minuto” para que não entrem em produção, mas vazamentos de segredos continuam sendo um grande desafio para os usuários do serviço.
Leia também
GitHub disponibiliza relatórios privados de vulnerabilidades
Ataque ao GitHub atinge 23 mil repositórios
Embora os segredos sejam frequentemente expostos acidentalmente, muitas violações também vêm de desenvolvedores bem-intencionados que os compartilham intencionalmente sem perceber os riscos, disse o GitHub. A empresa atualizou seu produto de segurança premium, GitHub Advanced Security (GHAS), para ajudar os desenvolvedores a evitar tais erros.
Como parte da atualização do GHAS 3.18, os assinantes receberão uma nova varredura de ponto no tempo gratuitamente. Disponível na aba ‘settings’ do painel do GHAS, a varredura ajudará os desenvolvedores a encontrar segredos expostos em seu código organizacional, juntamente com a avaliação de risco de segredo.
“Uma vez habilitado, o GitHub executará uma varredura pontual em todos os repositórios públicos, privados, internos e arquivados em sua organização”, disse o GitHub. “Os resultados são estáticos e não serão atualizados automaticamente. Você também poderá baixar os resultados como um arquivo CSV.”
Os insights oferecidos como resultados da verificação incluirão segredos vazados por tipo, segredos visíveis publicamente nos repositórios públicos e repositórios afetados para cada tipo de segredo, de acordo com o blog.
