La función de protección push de GitHub, presentada como versión beta en abril de 2022, ya está disponible para el público en general, anunció la compañía.
La función hace que todos los repositorios de código sean más seguros al evitar que se filtre información confidencial, como las claves API.
La protección push funciona escaneando en busca de secretos antes de que se acepten las operaciones «git push», explicó la compañía, y agregó que se admiten 69 tipos de tokens, incluidas claves API, claves privadas, claves secretas, tokens de autenticación, tokens de acceso, certificados de gestión y similares.
Impulso de seguridad de GitHub
Si bien pueden ocurrir algunos falsos positivos, deberían ser pocos y distantes entre sí.
«Si está presionando una confirmación que contiene un secreto, aparecerá un aviso de protección de inserción con información sobre el tipo de secreto, la ubicación y cómo remediar la exposición», dijo GitHub. «La protección push solo bloquea secretos con tasas bajas de falsos positivos, por lo que cuando se bloquea una confirmación, sabe que vale la pena investigarla».
La protección push ha estado en versión beta durante más de un año y, durante ese tiempo, los desarrolladores que la usaron lograron evitar 17 000 fugas de datos confidenciales y ahorraron más de 95 000 horas que, de otro modo, tendrían que dedicar a abordar el problema de los datos comprometidos. , afirma GitHub.
«Hoy en día, la protección push generalmente está disponible para repositorios privados con una licencia de GitHub Advanced Security (GHAS)», agregó GitHub. «Además, para ayudar a los desarrolladores (se abre en una pestaña nueva) y los mantenedores de código abierto protegen proactivamente su código, GitHub está haciendo que la protección push sea gratuita para todos los repositorios públicos».
Si está interesado en darle un giro a la protección push, puede hacerlo a través de la API o haciendo clic en el menú correspondiente en la interfaz de usuario: diríjase a GitHub.com > navegue a la página principal > haga clic en Configuración > busque «Seguridad» y haga clic en «Seguridad y análisis de código» > busque «Configurar seguridad y análisis de código» y busque «Seguridad avanzada de GitHub» > Vaya a «Escaneo de secretos» > busque «Protección de inserción» y habilítelo.
Los desarrolladores también pueden habilitarlo para repositorios individuales en Configuración > Seguridad y análisis > cuadro de diálogo Seguridad avanzada de GitHub.