GitHub concede alertas gratuitos para vazamento de credenciais em códigos Open Source

Segredos e credenciais expostos são a causa mais comum de violações de Dados e geralmente não são rastreados. Com uma média de 327 dias para serem identificadas, essas violações de Dados mostraram que vazamentos de credenciais podem levar a consequências graves. Ainda assim, as organizações lutam para detectar essas ocorrências em grande escala e tomar medidas imediatas para corrigir quaisquer segredos expostos.

Pensando em aprimorar os recursos de segurança para todos, a partir de hoje, o GitHub está liberando o escaneamento de credenciais (também conhecida como secret scanning) para todos os repositórios públicos na comunidade. A plataforma possui parcerias com provedores de serviços para sinalizar credenciais vazadas em todos os repositórios públicos, por meio do programa de escaneamento de credenciais de parceiros, contando com a análise de repositórios em busca de mais de 200 formatos de token. Em 2022, o GitHub notificou os parceiros sobre mais de 1,7 milhão de segredos em potencial expostos em repositórios públicos, com o objetivo de evitar o uso indevido desses tokens.

Os alertas de escaneamento de credenciais avisam diretamente sobre segredos vazados do código. Nesses casos, a plataforma também notificará os parceiros para garantir uma proteção mais rápida, ou seja, agora será possível ter uma segurança mais ampla para os repositórios. Além disso, a ferramenta enviará alertas sobre credenciais mesmo quando não for possível notificar um parceiro, por exemplo, se caso as chaves do HashiCorp Vault auto-hospedado forem expostas. Dessa forma, sempre existirá um rastreamento de todos os alertas para que as pessoas desenvolvedoras possam se aprofundar na origem do vazamento e auditar as ações tomadas.

Assim, ao usar os alertas de escaneamento de credenciais nos repositórios públicos será possível evitar exposições de Dados e desenvolver códigos em Open Source com mais confiança e segurança.

“Com o uso do escaneamento de credenciais, encontramos uma tonelada de coisas importantes para resolver. Do lado do AppSec, geralmente é a melhor maneira de obter visibilidade dos problemas no código”, afirmou David Ross, engenheiro de segurança da Postmates, empresa cliente do GitHub que presta serviços de entrega de alimentos nos EUA.

Como começar?
Hoje começa o lançamento gradual da versão beta gratuita do escaneamento de credenciais para repositórios públicos. E o GitHub espera que todos os usuários tenham acesso ao recurso até o final de janeiro de 2023. Portanto, pessoas interessadas que desejam ter acesso antecipado, ou queiram comentar ou enviar dúvidas, podem mandar solicitações no GitHub Discussions, na área de segurança de código.

Assim que os alertas estiverem disponíveis no repositório, as pessoas usuárias poderão habilitar a função nas configurações de “Segurança e análise de código”, no repositório. Já para ver todos os segredos detectados, será apenas necessário navegar até a guia “Segurança” e selecionar “Secret scanning” no painel lateral abaixo de “Alertas de vulnerabilidade”, orienta Mariam Sulakian, gerente Sênior de Produtos, e Zain Malik, Gerente Sênior de Marketing de Produtos.

Ao clicar nessa opção, será exibida uma lista com todas as credenciais detectadas e com a possibilidade de clicar em qualquer alerta para verificar informações sobre o que foi comprometido, como localização e a ação sugerida para correção, por exemplo.

O GitHub disponibiliza mais informações sobre como habilitar o escaneamento de credenciais para repositórios no GitHub Docs, disponível em português.

Como se tornar parceiro de escaneamento de credenciais do GitHub?
Os provedores de serviços que quiserem proteger os usuários da plataforma contra o vazamento de credenciais, podem participar do programa de parceiros de escaneamento de credenciais. Atualmente, o GitHub apoia mais de 200 padrões e mais de 100 parceiros. Os interessados devem enviar uma solicitação para [email protected].