GitHub agora pode bloquear commits com chaves privadas e outros tokens de autorização automaticamente

O GitHub fez um anúncio que expandiu os recursos de verificação de segredos de sua plataforma de hospedagem de código para clientes do GitHub Advanced Security para bloquear vazamentos secretos automaticamente.

Essa verificação de segredo é uma opção de segurança avançada que as organizações que utilizam o GitHub Enterprise Cloud com uma licença do GitHub Advanced Security podem habilitar para verificação de repositório adicional.

Ela funciona com a combinação de padrões definidos pela organização ou fornecidos por parceiros e prestadores de serviços. Cada correspondência é relatada como um alerta de segurança na guia Segurança dos repositórios ou para os parceiros se corresponder a um padrão de parceiro.

Esse  recurso novo, é conhecido como proteção por push, projetado para evitar a exposição acidental de credenciais antes de confirmar o código em repositórios remotos.

O novo recurso incorpora a verificação secreta no fluxo de trabalho dos desenvolvedores e  funciona com 69 tipos de token  (chaves de API, tokens de autenticação, tokens de acesso, certificados de gerenciamento, credenciais, chaves privadas, chaves secretas e mais) detectáveis ​​com um baixo “falso positivo” taxa de detecção.

o GitHub, disse”Com a proteção push, o GitHub verificará segredos de alta confiança à medida que os desenvolvedores enviarem código e bloquearão o push se um segredo for identificado”.

“Para tornar isso possível sem interromper a produtividade do desenvolvimento, a proteção push suporta apenas tipos de token que podem ser detectados com precisão.”

Se o GitHub Enterprise Cloud identificar um segredo antes de enviar o código, o git push será bloqueado para permitir que os desenvolvedores revisem e removam os segredos do código que tentaram enviar para repositórios remotos.

Os desenvolvedores  podem marcar  alertas de segurança como falsos positivos, casos de teste ou marcá-los para serem corrigidos posteriormente.

 Habilitando a proteção por push de verificação secreta

As organizações com o GitHub Advanced Security podem habilitar o recurso de proteção por push de verificação secreta nos níveis de repositório e organização por meio da API ou com apenas um clique na interface do usuário.

O procedimento detalhado para habilitar a proteção push para sua organização exige que você:

  1. No GitHub.com, navegue até a página principal da organização.
  2. Sob o nome da sua organização, clique em  Configurações .
  3. Na seção “Segurança” da barra lateral, clique em  Segurança e análise de código .
  4. Em “Segurança e análise de código”, localize “GitHub Advanced Security”.
  5. Em “Verificação secreta”, em “Proteção por push”, clique em  Ativar todos .
  6. Opcionalmente, clique em “Ativar automaticamente para repositórios privados adicionados à verificação secreta”.

Pode habilitado para repositórios únicos, ativando-o na caixa de diálogo Configurações do repositório > Segurança e análise > GitHub Advanced Security.

“Até o momento, o GitHub detectou mais de 700.000 segredos em milhares de repositórios privados usando a verificação secreta do GitHub Advanced Security; o GitHub também verifica nossos padrões de parceiros em todos os repositórios públicos (de graça)”, acrescentou o GitHub.

“Hoje, estamos adicionando a opção para clientes do GitHub Advanced Security para evitar que vazamentos aconteçam por meio da verificação de segredos antes que um git push seja aceito.”