GitHub ha anunciado que traerá su capacidad de escaneo secreto a más usuarios en un intento por ayudar a los administradores de repositorios públicos a detectar secretos filtrados en sus repositorios antes de que ocurra una infracción.
El lanzamiento forma parte del programa de socios de escaneo secreto, que se creó para notificar a más de 100 proveedores de servicios sobre la exposición de tokens en repositorios públicos.
Anteriormente, la función solo estaba disponible para organizaciones con GitHub Advanced Security, pero ahora estará disponible para los administradores de todos los repositorios públicos.
Escaneo secreto de Github
Github afirma escanear en busca de más de 200 formatos de token (como claves API y tokens de autenticación) que normalmente tardarían un promedio de 327 días en identificar, y ya notificó a sus socios sobre 1,7 millones de posibles exposiciones secretas en repositorios públicos.
El lanzamiento ya comenzó en forma beta y GitHub espera que todos sus miembros tengan acceso a fines de enero de 2023. La compañía también ha señalado un panel de discusión (se abre en una pestaña nueva) donde los usuarios pueden solicitar acceso anticipado o discutir el producto con más detalle.
«Una vez que las alertas de escaneo secreto estén disponibles en su repositorio, puede habilitarlas en la configuración de su repositorio en la configuración de «Seguridad y análisis del código», una entrada en el blog de la compañía. (se abre en una pestaña nueva) anotado.
«Puede ver los secretos detectados navegando a la pestaña «Seguridad» de su repositorio y seleccionando «Análisis de secretos» en el panel lateral debajo de «Alertas de vulnerabilidad». Allí, verá una lista de los secretos detectados y puede hacer clic en cualquier alerta para revelar el secreto comprometido, su ubicación y la acción sugerida para remediarlo”.
GitHub 2FA
Con énfasis en su compromiso con la seguridad, GitHub también anunció que requerirá que todos los usuarios que contribuyan con código configuren la autenticación de dos factores (2FA) en sus cuentas para fines de 2023, lo que afectará a aproximadamente 94 millones de usuarios.
Un grupo selecto de usuarios será notificado por primera vez de esta verificación obligatoria en marzo de 2023, lo que proporcionará una base para la evaluación antes de que GitHub la envíe a toda su base de usuarios.