La función de alerta de escaneo secreto de GitHub, que se lanzó en formato beta público en diciembre de 2022, ahora está disponible de forma general y gratuita en todos los repositorios públicos.
en un entrada en el blog (se abre en una pestaña nueva)la plataforma de desarrolladores señaló que 70 000 repositorios públicos habían activado alertas de escaneo secretas durante la versión beta, por lo que el lanzamiento completo será una buena noticia para muchos desarrolladores de todo el mundo.
GitHub dice que puede activar la función en los repositorios públicos de su propiedad para ayudar a notificarle los secretos filtrados en el código, los problemas, la descripción y los comentarios.
Escaneo secreto de GitHub
La función funciona con más de 100 proveedores de servicios en el Programa de socios de GitHub, en el que la empresa notifica a los usuarios y socios sobre la detección de secretos filtrados.
«Con las alertas de escaneo de secretos habilitadas, ahora también recibirá alertas de secretos en los que no es posible notificar a un socio, por ejemplo, si las claves autohospedadas están expuestas, junto con un registro de auditoría completo de las acciones realizadas en la alerta». señaló Github.
La plataforma señaló a un desarrollador experimentado que había utilizado la herramienta para escanear 14 000 repositorios públicos de GitHub Action, lo que resultó en el hallazgo de más de 1000 secretos, lo que demuestra lo fácil que puede ser pasarlos por alto, de ahí la importancia de la herramienta.
A documento de apoyo (se abre en una pestaña nueva) explica cuándo un desarrollador puede querer usar la herramienta:
«Si registra un secreto en un repositorio, cualquiera que tenga acceso de lectura al repositorio puede usar el secreto para acceder al servicio externo con sus privilegios».
Estos pueden incluir cualquier cosa, desde claves API hasta contraseñas, tokens de autenticación y cualquier otra información confidencial.
‘Escaneo secreto’ se puede encontrar en ‘Configuración’ > ‘Seguridad y análisis de código’ > ‘Seguridad’, donde se puede habilitar o deshabilitar.