Github, API anahtarları ve kimlik bilgileri de dahil olmak üzere, kullanıcıları ve kuruluşları ciddi güvenlik risklerine maruz bırakarak, 2024 yılında depolarda 39 milyondan fazla sızdırılmış sır tespit ettikten sonra gelişmiş güvenlik platformunda güncellemeler duyurdu.
GitHub’ın yeni bir raporunda, geliştirme şirketi, 39 milyon sırın, API anahtarlarını, şifreleri, jetonları ve depolardaki diğer sırları algılayan bir güvenlik özelliği olan gizli tarama hizmeti aracılığıyla bulunduğunu söylüyor.
GitHub’ın duyurusu, “Gizli sızıntılar, güvenlik olaylarının en yaygın ve önlenebilir (önlenebilir) durumlarından biri olmaya devam ediyor.”
“Kodları daha önce hiç akla gelebileceğinden daha hızlı geliştirdiğimiz için, sırları her zamankinden daha hızlı sızdırıyoruz.”
Bu, GitHub’ın Nisan 2022’de tanıtılan ve Şubat 2024’teki tüm kamu depolarında varsayılan olarak etkinleştirilen “Push Koruma” gibi hedefli koruma önlemlerine rağmen gerçekleşiyor.
GitHub’a göre, sırların sızmaya devam etmesinin ana nedenleri, taahhütler sırasında sırları ve git tarihi aracılığıyla kazara depoya maruz kalma olan geliştiricilerin rahatlığın önceliklendirilmesidir.
https://www.youtube.com/watch?v=vmhdkt5jnn0
Github Gelişmiş Güvenliği Yeniliyor
Github, platformdaki gizli sızıntıları azaltmak için mevcut sistemlerde birkaç yeni önlem ve geliştirme duyurdu.
Github, “Bugün itibariyle güvenlik ürünlerimiz, geliştirme ekiplerinin güvenliği hızlı bir şekilde ölçeklendirmesini sağlayan işletmeler için bağımsız ürünler olarak satın alınabilir.”
“Daha önce, gizli tarama ve itme korumasına yatırım yapmak, birçok kuruluş için çok pahalı hale getiren daha büyük bir güvenlik aracı paketinin satın alınmasını gerektiriyordu.
Diyerek şöyle devam etti: “Bu değişiklik, gizli koruma ve kod güvenliği ile ölçeklenebilir güvenliğin artık birçok kuruluş için erişilememesini sağlıyor.”
GitHub Gelişmiş Güvenlik değişiklikleri aşağıdaki gibi özetlenmiştir:
- Bağımsız gizli koruma ve kod güvenliği – Artık ayrı ürünler olarak mevcut olan bu araçlar artık tam bir GitHub Gelişmiş Güvenlik Lisansı gerektirmiyor, bu da onları daha küçük takımlar için daha uygun fiyatlı hale getiriyor.
- Kuruluş çapında ücretsiz gizli risk değerlendirmesi -Tüm Github organizasyonları için ücretsiz olan tüm depoları (kamu, özel, iç ve arşivlenmiş) açıkta olan sırlar için kontrol eden bir zamanında tarama.
- Delege edilmiş bypass kontrolleri ile itme koruması -Kod itilmeden önce sırlar için gelişmiş itme koruma taramaları ve kuruluşların korumayı kimin atlayabileceğini tanımlamasına izin vererek politika düzeyinde kontrol ekler.
- Copilot ile çalışan gizli tespit – GitHub artık şifreler gibi yapılandırılmamış sırları tespit etmek, doğruluğu artırmak ve yanlış pozitifleri düşürmek için AI kullanıyor.
- Bulut Sağlayıcı Ortaklıkları aracılığıyla Geliştirilmiş Tespit – GitHub, daha doğru gizli dedektörler oluşturmak ve sızıntılara daha hızlı yanıt vermek için AWS, Google Cloud ve Openai gibi sağlayıcılarla çalışır.
GitHub’ın girişimleri ve iyileştirmeleri dışında, kullanıcılara da kendilerini gizli sızıntılardan korumak için önerilen eylemlerin bir listesi verilir.
İlk olarak, bir depoya itilmeden önce sırları engellemek için depo, kuruluş veya işletme düzeyinde itme korumasının etkinleştirilmesi önerilmektedir.
Github ayrıca, bunları depolamak için ortam değişkenlerini, gizli yöneticileri veya tonozları kullanarak, sert kodlanmış sırları tamamen kaynak kodundan çıkararak riski azaltmanın önemini vurgulamaktadır.
Platform, sırları programlı olarak işlemek için CI/CD boru hatları ve bulut platformları ile entegre olan araçları kullanmayı, hatalar ve pozlama getirebilecek insan etkileşimini azaltır.
Son olarak, GitHub kullanıcılarının ‘En İyi Uygulamalar’ kılavuzunu gözden geçirmeleri ve sırları uçtan uca uygun şekilde yönetmeleri önerilir.
14 metrelik kötü niyetli eylemlerin analizine dayanarak, saldırıların% 93’ünün ve bunlara karşı nasıl savunulacağının arkasındaki en iyi 10 MITER ATT & CK tekniklerini keşfedin.