GitHub, gizli tarama uyarıları hizmetinin artık genel olarak tüm genel depolarda kullanılabileceğini ve tüm yayın geçmişi boyunca sızan sırları algılamak için etkinleştirilebileceğini duyurdu.
Sırlar, API anahtarları, hesap parolaları, kimlik doğrulama belirteçleri ve saldırganların güvenlik ihlalleri gerçekleştirmesine veya herkese açık olmayan verilere erişmesine olanak tanıyan diğer gizli veriler dahil olmak üzere yanlışlıkla GitHub depolarına eklenen hassas verilerdir.
Tehdit aktörleri, ağları ihlal etmek, verileri çalmak veya kendi saldırılarında şirketin kimliğine bürünmek için genellikle halka açık GitHub depolarında kimlik doğrulama sırları arar.
Aralık 2022’de GitHub, geliştiricilerin hassas verilerin yanlışlıkla herkese açık olarak açığa çıkmasını bulmasına yardımcı olmak için 200’den fazla belirteç formatını tarayan tüm genel depolara ücretsiz bir gizli tarama özelliğinin beta sürümünü sunmaya başladı. O zamandan beri 70.000 genel depo yeni özelliği etkinleştirdi.
Bugün GitHub, hizmetin artık genel kullanıma sunulduğunu ve tüm genel veri havuzu sahiplerinin/yöneticilerinin, verilerini güvenceye almak için gizli tarama uyarılarını etkinleştirebileceğini duyurdu.
GitHub’ın duyurusunda “Bugün itibariyle, GitHub gizli taramasının uyarı deneyimi genel kullanıma sunuldu ve tüm genel depolar için ücretsiz” ifadeleri yer alıyor.
“Kod, sorunlar, açıklama ve yorumlar dahil olmak üzere tüm havuz geçmişinizdeki sızdırılmış sırları size bildirmek için sahip olduğunuz tüm havuzlarda gizli tarama uyarılarını etkinleştirebilirsiniz.”
Depo sahiplerine sızan gizli olayları bildirmenin yanı sıra GitHub, kimlik doğrulama belirtecini iptal edip müşterilerini bilgilendirebilmeleri için 100’den fazla gizli tarama ortağını açığa çıkan sırlar konusunda bilgilendirmeye devam edecek.
İlgili bir ortağa ulaşmak imkansızsa, yöneticiye verilen uyarı, açığa çıkan sırların genel depolardan kaldırılmasını sağlamak için yeterli olmalıdır.
Kod barındırma platformu, gizli tarayıcının ve uyarıların gücünü vurgulamak için DevOps Danışmanı ve Eğitmeni @rajbos örneğini kullanır. Geliştirici, özelliği 13.954 genel GitHub Action deposunda etkinleştirdiğini ve bunların 1110’unda (%7,9) sır bulduğunu söylüyor.
Rob Bos, “GitHub Advanced Security’yi kullanma konusunda pek çok kişiye eğitim vermeme rağmen, bu sayede kendi depolarımda sırlar buldum” diye itiraf ediyor.
“Yılların deneyimine rağmen, benim de başıma geliyor. Yanlışlıkla sırları dahil etmek işte bu kadar kolay.”
Genel bir depoyu yöneten herhangi bir GitHub kullanıcısı, “Ayarlar” sekmesine tıklayarak “Kod güvenliği ve analiziGüvenlik bölümünün altındaki ” seçeneğini seçin ve ardından “Olanak vermek” Açık “Gizli Tarama” sayfanın sonunda.
Gizli taramanın nasıl çalıştığı ve yeni özellikten en iyi şekilde nasıl yararlanabileceğiniz hakkında daha fazla bilgi için GitHub’ın belgelerine bakın.