Segurança Avançada do GitHub atua com escaneamento de credenciais

Embora proteger credenciais pareça simples, a escala e a natureza interconectada do desenvolvimento de software moderno tornam a tarefa difícil. Até hoje, o GitHub, plataforma de colaboração em desenvolvimento de software do mundo, detectou mais de 700.000 credenciais em milhares de repositórios privados usando o escaneamento de credenciais para Segurança Avançada do GitHub. Além disso, a plataforma também escaneia as credenciais padrões de seus parceiros em todos os repositórios públicos – gratuitamente. Hoje, um novo passo foi dado para tornar o Open Source ainda mais seguro: o GitHub acrescentou a opção para os clientes de Segurança Avançada do GitHub, possibilitando fazer o escaneamento antes mesmo de que um ‘git push’ seja aceito, o que evitará que vazamentos aconteçam por meio da varredura de credenciais.

“As brechas atribuídas ao mau uso de credenciais afetam todos nós. Ao escanear segredos altamente identificáveis antes de serem submetidos a um commit, estamos mudando a segurança para sermos proativos em vez de reativos e evitar que os segredos vazem por completo,” explica Mariam Sulakian, gerente de produtos no GitHub. Agora a nova capacidade de varredura de segredos do GitHub incorpora a funcionalidade no fluxo de trabalho do desenvolvedor. Para tornar isso possível sem interromper a produtividade do desenvolvimento, a proteção ‘push’ suporta apenas tipos de token que podem ser detectados com precisão. “Essa atualização é resultado de um trabalho que se iniciou no ano passado, quando o GitHub mudou o formato das próprias credenciais e começou a colaborar com outros emissores de tokens para conduzir padrões altamente identificáveis”.

Proteção de escaneamento de credenciais em ação
Com a proteção de ‘push’, o GitHub verificará se há credenciais de alta confiança enquanto os desenvolvedores fazem ‘push’ no código e irá bloquear esse ‘push’ caso uma credencial seja identificada. Credenciais de alta confiança têm uma taxa positiva baixa, de modo que as equipes de segurança podem proteger suas organizações sem comprometer a experiência dos desenvolvedores.

O GitHub procura por mais de 100 tipos diferentes de tokens para detectar credenciais, e se um deles for identificado, os desenvolvedores podem revisar e removê-lo de seu código antes de fazer um novo compartilhamento. Em raros casos onde a remediação não é eficiente ou não faz sentido os desenvolvedores podem seguir adiante resolvendo como um “falso-positivo” a ser tratado posteriormente.

Se a varredura de credenciais for contornada no momento do ‘push’, o GitHub gerará um alerta de segurança fechado para credenciais identificadas como cases de teste ou falsos positivos. Para os segredos marcados para serem resolvidos posteriormente, a plataforma gerará um alerta de segurança aberto tanto para o desenvolvedor quanto para o administrador do repositório. As equipes também podem aproveitar a visão geral da organização e da segurança a nível empresarial para rastrear sua estratégia geral de segurança, incluindo quaisquer alertas de escaneamento de credenciais.

Os detalhes completos você pode encontrar no blog post do GitHub.