Rahasia dan Token yang Terkena Secara Tidak Sengaja Segera Dipindai oleh GitHub

Rahasia dan Token yang Terkena Secara Tidak Sengaja Segera Dipindai oleh GitHub

 

GitHub baru-baru ini memperbarui wawasannya untuk menyertakan repositori yang berisi rahasia registri untuk PyPI dan RubyGems. Pendekatan ini melindungi jutaan programmer Ruby dan Python yang dapat secara tidak sengaja melakukan rahasia dan kredensial ke repositori GitHub mereka.
GitHub, Inc. adalah pengembangan perangkat lunak dan layanan hosting Internet kontrol versi yang memanfaatkan Git. Ini menyediakan kontrol versi terdistribusi Git, manajemen kode sumber serta fitur-fiturnya. GitHub memberi pengguna lisensi Keamanan Tingkat Lanjut dengan fitur keamanan yang tersedia. Fungsionalitas ini juga tersedia untuk repositori publik di GitHb.com.
Baru-baru ini dilaporkan oleh GitHub bahwa repositori yang mengekspos rahasia PyPI dan RubyGems, seperti kata sandi dan token API sekarang dipindai secara rutin.
Untuk memanfaatkan fungsionalitas ini, pengembang harus memastikan bahwa GitHub Advanced Security diaktifkan untuk repositori mereka yang merupakan situasi default untuk repositori publik.
“Untuk repositori publik di GitHub.com, fitur ini aktif secara permanen dan hanya dapat dinonaktifkan jika Anda mengubah visibilitas proyek sehingga kode tidak lagi bersifat publik,” kata GitHub.
Rahasia atau token adalah string yang dapat divalidasi sendiri saat menggunakan layanan, sebanding dengan nama pengguna dan kata sandi.
Aplikasi API pihak ketiga sering menggunakan rahasia pribadi dalam kode mereka untuk mengakses layanan API. Karena itu, seseorang harus berhati-hati untuk tidak mengungkapkan rahasia, karena ini dapat menyebabkan lebih banyak serangan dalam rantai pasokan yang lebih luas.
GitHub mungkin memeriksa, antara lain, untuk mengetahui rahasia npm, NuGet, dan Clojars yang dilakukan secara keliru.
Seperti yang diamati, daftar Keamanan Lanjutan GitHub saat ini mendukung lebih dari 70 jenis rahasia berbeda yang komprehensif.
Penasihat lebih lanjut berbunyi, “Untuk repositori lain, setelah Anda memiliki lisensi untuk akun perusahaan Anda, Anda dapat mengaktifkan dan menonaktifkan fitur-fitur ini di tingkat organisasi atau repositori. Untuk informasi selengkapnya, lihat “Mengelola pengaturan keamanan dan analisis untuk organisasi Anda” dan “Mengelola pengaturan keamanan dan analisis untuk repositori Anda.” Jika Anda memiliki akun perusahaan, penggunaan lisensi untuk seluruh perusahaan akan ditampilkan di halaman lisensi perusahaan Anda. Untuk informasi selengkapnya, lihat “Melihat penggunaan Keamanan Lanjutan GitHub Anda”.”
GitHub memberi tahu administrator ketika menemukan kata sandi, token API, kunci SSH pribadi, atau rahasia lain apa pun yang telah diungkapkan di repositori publik. Misalnya, baru-baru ini memperkenalkan PyPI dan RubyGems, pengelola registri kemudian akan menghapus otorisasi yang diungkapkan dan mengirim email kepada pengembang tentang alasannya.
“Jika kami menemukannya, kami memberi tahu registri, dan mereka secara otomatis mencabut rahasia yang disusupi dan memberi tahu pemiliknya,” jelas insinyur perangkat lunak GitHub Annie Gesellchen dalam sebuah posting blog. Manfaat kerja sama RubyGems dan PyPI GitHub adalah bahwa ia mencabut rahasia yang diungkapkan secara otomatis dalam hitungan detik alih-alih menunggu pengembang untuk mengambil tindakan manual.
Pemindaian kerahasiaan otomatis membawa pengguna satu inci ke depan untuk melindungi infrastruktur pengembang dari kebocoran yang tidak disengaja dan meningkatkan keamanan dalam rantai pasokan.

Pos terkait