O GitHub, maior plataforma de colaboração em desenvolvimento de software do mundo, anunciou ontem ter acrescentado para os clientes de “Segurança Avançada” a opção de escanear os dados a serem enviados em ‘push’, evitando que vazamentos aconteçam por meio da varredura de credenciais. Uma credencial armazenada no GitHub foi o que permitiu a hackers atacarem a SolarWinds no final de 2020.
Veja isso
GitHub abre Advisory Database para alertas da comunidade
Chave ‘master’ do REvil aparece em postagem no GitHub
Usando o escaneamento de credenciais para Segurança Avançada, o GitHub já detectou até hoje mais de 700 mil credenciais, em milhares de repositórios privados. Além disso, a plataforma também escaneia gratuitamente as credenciais padrões de seus parceiros em todos os repositórios públicos.
“As brechas atribuídas ao mau uso de credenciais afetam todos nós. Ao escanear segredos altamente identificáveis antes de serem submetidos a um commit, estamos mudando a segurança para sermos proativos em vez de reativos e evitar que os segredos vazem por completo,” explica Mariam Sulakian, gerente de produtos no GitHub. Agora a nova capacidade de varredura de segredos do GitHub incorpora a funcionalidade no fluxo de trabalho do desenvolvedor. Para tornar isso possível sem interromper a produtividade do desenvolvimento, a proteção ‘push’ suporta apenas tipos de token que podem ser detectados com precisão. “Essa atualização é resultado de um trabalho que se iniciou no ano passado, quando o GitHub mudou o formato das próprias credenciais e começou a colaborar com outros emissores de tokens para conduzir padrões altamente identificáveis”.
Com a proteção de ‘push’, o GitHub verificará se há credenciais de alta confiança no conteúdo, e irá bloquear esse ‘push’ caso uma credencial seja identificada. Credenciais de alta confiança têm uma taxa positiva baixa, de modo que as equipes de segurança podem proteger suas organizações sem comprometer a experiência dos desenvolvedores.
O GitHub procura por mais de 100 tipos diferentes de tokens para detectar credenciais, e se um deles for identificado os desenvolvedores podem revisar e removê-lo de seu código antes de fazer um novo compartilhamento. Em raros casos onde a remediação não é eficiente ou não faz sentido os desenvolvedores podem seguir adiante resolvendo como um “falso-positivo” a ser tratado posteriormente.
Se a varredura de credenciais for contornada no momento do ‘push’, o GitHub vai gerar um alerta de segurança fechado para credenciais identificadas como cases de teste ou falsos positivos. Para os segredos marcados para serem resolvidos posteriormente, a plataforma gerará um alerta de segurança aberto tanto para o desenvolvedor quanto para o administrador do repositório. As equipes também podem aproveitar a visão geral da organização e da segurança a nível empresarial para rastrear sua estratégia geral de segurança, incluindo quaisquer alertas de escaneamento de credenciais.
