GitHub amplía su programa de escaneo de secretos para repositorios públicos
El servicio de alojamiento de Internet basado en Git de Microsoft para desarrolladores de software está ampliando su programa de socios de escaneo de secretos. Hasta ahora, este servicio solo estaba disponible para usuarios de GitHub Advanced Security. Con esta mejora, estará abierto para todos los repositorios públicos de forma gratuita.
El programa, que escanea repositorios en busca de más de 200 formatos de tokens, permite a los desarrolladores rastrear cualquier secreto expuesto públicamente en su repositorio público de GitHub. Este año, con más de 94 millones de desarrolladores en sus repositorios, el programa encontró más de 1,7 millones de posibles secretos expuestos.
En un blog, GitHub dijo que los secretos y credenciales expuestos, la causa más común de brechas de datos, tienen un tiempo de permanencia promedio de 327 días antes de que se identifiquen.
Mariam Sulakian, gerente de producto de GitHub, explicó que GitHub siempre escanea todos los repositorios públicos en busca de secretos y envía las detecciones a sus socios de forma predeterminada.
"Ahora, nuestros clientes también pueden habilitar una experiencia de escaneo de secretos dentro del producto para realizar un seguimiento de la corrección de cualquier exposición en sus repositorios públicos", dijo. "Los usuarios pueden ver alertas sobre secretos detectados en la pestaña de seguridad de un repositorio. Cada alerta contendrá información sobre el secreto comprometido, incluidos los pasos de corrección sugeridos, su ubicación y una línea de tiempo de las acciones tomadas en la alerta".
Aprende desarrollo web full stack y mejora tus habilidades como programadorAgregó que GitHub detecta más de 4.500 posibles secretos filtrados en repositorios públicos todos los días y envía las detecciones a sus más de 100 proveedores de servicios asociados.
"Ahora, también mostramos esos hallazgos a los usuarios para que hagan un seguimiento de las exposiciones en sus propios repositorios", dijo.
Formas en que pueden ocurrir las filtraciones
- Los secretos pueden filtrarse accidentalmente, por ejemplo, si un desarrollador usa sus credenciales para una prueba rápida de depuración y luego olvida eliminar esas credenciales antes de confirmar y enviar su código.
- Los secretos también pueden quedar en el historial de confirmaciones de Git. Supongamos que un administrador está "remediando" filtraciones y elimina el secreto de la rama principal, pero no limpia todo el historial de Git.
- Los secretos pueden filtrarse de forma intencional. "Imagina que un estudiante o un desarrollador novato deja su secreto en su código fuente, sin ser consciente del impacto potencial de la filtración", dijo Sulakian.
Escaneo de secretos gratuito en todos los repositorios públicos
Actualmente, GitHub se asocia con proveedores de servicios para detectar credenciales filtradas en todos los repositorios públicos a través de su programa de socios de escaneo de secretos. El nuevo lanzamiento brinda a los desarrolladores de código abierto acceso gratuito a las alertas sobre secretos filtrados en el código, lo que les permite identificar la fuente de la filtración, realizar un seguimiento fácil de las alertas y tomar medidas (Figura A).
GitHub lanzó el escaneo de secretos para repositorios públicos como beta este mes. Los usuarios deben activarlo dentro de la configuración de seguridad de la plataforma, pero la implementación del servicio se realizará de forma progresiva y estará disponible para todos los usuarios a finales de enero de 2023.
Protección de empuje para patrones personalizados
GitHub introdujo la protección de empuje para los clientes de GitHub Advanced Security en abril de 2022 para prevenir filtraciones de forma proactiva mediante el escaneo de secretos antes de que se confirmen. Desde entonces, como escribieron Sulakian y Malik, la función ha evitado más de 8.000 filtraciones de secretos en 100 tipos de secretos (Figura B).
Aprende Python en línea por solo $30: ¡Domina el lenguaje de programación en tiempo récord!Ahora, según GitHub, las organizaciones que han definido patrones personalizados pueden habilitar la protección de empuje para esos patrones. Explicaron que la protección de empuje para patrones personalizados se puede configurar caso por caso.
"Al igual que ya puedes elegir qué patrones publicar (y cuáles refinar primero en modo de borrador), puedes decidir qué patrones proteger mediante empuje, según los falsos positivos", dijo la compañía.
Con la nueva función, las organizaciones con GitHub Advanced Security cuentan con una cobertura adicional para lo que suelen ser sus patrones de secretos más importantes, aquellos personalizados y definidos internamente para sus organizaciones.
El nuevo programa permite a los proveedores de servicios asociarse con GitHub para asegurar sus formatos de tokens secretos mediante el escaneo, que busca confirmaciones accidentales de formatos de secretos. Posteriormente, se puede enviar a un punto de verificación del proveedor de servicios.
Cómo funcionan los secretos y los tokens en GitHub
En GitHub, los "secretos" permiten a los desarrolladores autenticar su flujo de trabajo. Cuando un desarrollador inicia un proyecto de GitHub, GitHub crea automáticamente un "secreto" único llamado GITHUB_TOKEN, que permite al desarrollador acceder a las aplicaciones de GitHub instaladas en el repositorio del desarrollador. El GITHUB_TOKEN caduca cuando se finaliza una tarea o después de un máximo de 24 horas. Si un proyecto de GitHub se comunica con un servicio externo, el propietario puede utilizar un token o una clave privada para la autenticación.
Descubre el arte de extraer información de la web en 7 horas con este curso de $13Tanto los tokens como las claves privadas son secretos que puede emitir un proveedor de servicios. Si un usuario incluye un secreto en un repositorio, cualquier persona con acceso de lectura al repositorio puede usarlo para acceder al servicio externo con los privilegios del usuario. GitHub recomienda que los usuarios almacenen los secretos en un lugar seguro y dedicado fuera del repositorio de su proyecto.
Sulakian explicó que un proyecto de GitHub puede conectarse a innumerables servicios externos, y la mayoría efectivamente se conecta a uno o varios.
"Por ejemplo, los desarrolladores pueden utilizar tokens de Slack para crear bots que ayuden a automatizar procesos", dijo. "Si estos tokens se filtran, un usuario no autorizado puede acceder a la aplicación de Slack asociada con el token. Nosotros nos esforzamos por proteger todos los servicios con los que los desarrolladores y los equipos interactúan, y siempre damos la bienvenida a más socios que nos ayuden a asegurar a nuestros usuarios mutuos".
¿Interesado en dar el siguiente paso hacia la comprensión de la codificación para el desarrollo de juegos? Echa un vistazo a The Ultimate Learn to Code Training.
Para obtener más información sobre GitHub, consulta el Complete Git and GitHub for Beginners Bootcamp Bundle de Newsmatic Academy.
¡Desarrolla habilidades tecnológicas valiosas con este increíble paquete de certificación!En Newsmatic nos especializamos en tecnología de vanguardia, contamos con los artículos mas novedosos sobre Desarrollo, allí encontraras muchos artículos similares a GitHub amplía su programa de escaneo de secretos para repositorios públicos , tenemos lo ultimo en tecnología 2023.
Artículos Relacionados