book_icon

Segurança Avançada do GitHub atua com escaneamento de credenciais

As brechas atribuídas ao mau uso de credenciais afetam todos nós

Segurança Avançada do GitHub atua com escaneamento de credenciais

Embora proteger credenciais pareça simples, a escala e a natureza interconectada do desenvolvimento de software moderno tornam a tarefa difícil. Até hoje, o GitHub, plataforma de colaboração em desenvolvimento de software do mundo, detectou mais de 700.000 credenciais em milhares de repositórios privados usando o escaneamento de credenciais para Segurança Avançada do GitHub. Além disso, a plataforma também escaneia as credenciais padrões de seus parceiros em todos os repositórios públicos – gratuitamente. Hoje, um novo passo foi dado para tornar o Open Source ainda mais seguro: o GitHub acrescentou a opção para os clientes de Segurança Avançada do GitHub, possibilitando fazer o escaneamento antes mesmo de que um ‘git push’ seja aceito, o que evitará que vazamentos aconteçam por meio da varredura de credenciais.

Para tornar isso possível sem interromper a produtividade do desenvolvimento, a proteção ‘push’ suporta apenas tipos de token que podem ser detectados com precisão  

“As brechas atribuídas ao mau uso de credenciais afetam todos nós. Ao escanear segredos altamente identificáveis antes de serem submetidos a um commit, estamos mudando a segurança para sermos proativos em vez de reativos e evitar que os segredos vazem por completo,” explica Mariam Sulakian, gerente de produtos no GitHub. Agora a nova capacidade de varredura de segredos do GitHub incorpora a funcionalidade no fluxo de trabalho do desenvolvedor. Para tornar isso possível sem interromper a produtividade do desenvolvimento, a proteção ‘push’ suporta apenas tipos de token que podem ser detectados com precisão. “Essa atualização é resultado de um trabalho que se iniciou no ano passado, quando o GitHub mudou o formato das próprias credenciais e começou a colaborar com outros emissores de tokens para conduzir padrões altamente identificáveis”.

Proteção de escaneamento de credenciais em ação
Com a proteção de ‘push’, o GitHub verificará se há credenciais de alta confiança enquanto os desenvolvedores fazem ‘push’ no código e irá bloquear esse ‘push’ caso uma credencial seja identificada. Credenciais de alta confiança têm uma taxa positiva baixa, de modo que as equipes de segurança podem proteger suas organizações sem comprometer a experiência dos desenvolvedores.

O GitHub procura por mais de 100 tipos diferentes de tokens para detectar credenciais, e se um deles for identificado, os desenvolvedores podem revisar e removê-lo de seu código antes de fazer um novo compartilhamento. Em raros casos onde a remediação não é eficiente ou não faz sentido os desenvolvedores podem seguir adiante resolvendo como um “falso-positivo” a ser tratado posteriormente.

Se a varredura de credenciais for contornada no momento do ‘push’, o GitHub gerará um alerta de segurança fechado para credenciais identificadas como cases de teste ou falsos positivos. Para os segredos marcados para serem resolvidos posteriormente, a plataforma gerará um alerta de segurança aberto tanto para o desenvolvedor quanto para o administrador do repositório. As equipes também podem aproveitar a visão geral da organização e da segurança a nível empresarial para rastrear sua estratégia geral de segurança, incluindo quaisquer alertas de escaneamento de credenciais.

Os detalhes completos você pode encontrar no blog post do GitHub.

Mariam Sulakian

Segurança Avançada do GitHub

tokens

Últimas Notícias
Você também pode gostar
As opiniões dos artigos/colunistas aqui publicados refletem exclusivamente a posição de seu autor, não caracterizando endosso, recomendação ou favorecimento por parte da Infor Channel ou qualquer outros envolvidos na publicação. Todos os direitos reservados. É proibida qualquer forma de reutilização, distribuição, reprodução ou publicação parcial ou total deste conteúdo sem prévia autorização da Infor Channel.
Revista Digital
Edição do mês

Leia nesta edição:

Leia nessa edição sobre tecnologia

CAPA | TECNOLOGIA

5G impõe seu ritmo

Leia nessa edição sobre carreira

MERCADO

Brincadeira de gente grande

Leia nessa edição sobre setorial | saúde

GESTÃO

Backup: a última linha de defesa

Esta é para você leitor da Revista Digital:

Leia nessa edição sobre sustentabilidade

NEGÓCIOS

Terceirização de equipamentos

Maio 2022 | #57 - Acesse:

Infor Channel Digital

Baixe o nosso aplicativo

Google Play
Apple Store

Agenda & Eventos

Cadastre seu Evento