GitHub sta rafforzando la sua sicurezza dopo aver trovato un incredibile 39 milioni di segreti – chiavi API, credenziali, opere – alzando i repository nel 2024. Questa esposizione mette a rischio utenti e organizzazioni.
Secondo Github’s rapportoquesta enorme perdita è stata rilevata dal suo Servizio di scansione segretache identifica le chiavi API, le password e i token esposti all’interno dei repository.
“Le perdite segrete rimangono uno dei più comuni – e prevenibili – causa degli incidenti di sicurezza”, ha dichiarato GitHub nel suo annuncio, osservando: “Mentre sviluppiamo il codice più veloce che mai immaginabile, stiamo perdendo segreti più velocemente che mai”.
Nonostante le misure come “Push Protection”, lanciate nell’aprile 2022 e abilitate per impostazione predefinita sui repository pubblici nel febbraio 2024, i segreti continuano a perdere a causa degli sviluppatori che danno la priorità alla comodità quando si maneggiano i segreti durante i commissioni e l’esposizione accidentale per i depositi attraverso la cronologia GIT.
Per combattere queste perdite, GitHub sta lanciando diverse nuove misure e miglioramenti:
- Protezione segreta autonoma e sicurezza del codice: Disponibili come prodotti separati, questi strumenti non richiedono più una patente di sicurezza avanzata GitHub completa, con l’obiettivo di essere più conveniente per i team più piccoli.
- Valutazione del rischio segreto a livello organizzativo gratuito: Controlla tutti i repository (pubblico, privato, interno e archiviato) per segreti esposti, disponibili per tutte le organizzazioni GitHub gratuitamente.
- Push Protection con controlli di bypass delegati: Scansioni di protezione push migliorate per i segreti prima che il codice venga spinto e consente alle organizzazioni di definire chi può bypassare la protezione, aggiungendo così il controllo a livello di politica.
- Rilevamento segreto basato sul copilota: GitHub sta sfruttando l’IA tramite Copilot per rilevare segreti non strutturati come password, mirando a migliorare l’accuratezza e ridurre i falsi positivi.
- Rilevamento migliorato tramite partnership di provider cloud: GitHub sta collaborando con fornitori come AWS, Google Cloud e OpenAI per migliorare l’accuratezza dei rilevatori segreti e accelerare le risposte alle perdite.
“Ad oggi, i nostri prodotti di sicurezza sono disponibili per l’acquisto come prodotti autonomi per le aziende, consentendo ai team di sviluppo di ridimensionare rapidamente la sicurezza”, ha spiegato Github. “In precedenza, investire in scansione segreta e protezione push richiedeva l’acquisto di una suite più ampia di strumenti di sicurezza, che lo rendeva troppo costoso per molte organizzazioni.”
Il tribunale respinge le richieste di miliardi di dollari nei confronti di Github Copilot
Al di là degli aggiornamenti di GitHub, gli utenti sono invitati ad adottare misure proattive per salvaguardare le perdite segrete. Le raccomandazioni includono l’abilitazione della protezione push a livello di repository, organizzazione o aziendale per bloccare preventivamente i segreti. GitHub suggerisce inoltre di eliminare i segreti hardcoded utilizzando variabili di ambiente, manager segreti o volte.
La piattaforma consiglia ulteriormente l’utilizzo di strumenti integrati con pipeline CI/CD e piattaforme cloud per la manipolazione segreta programmatica, minimizzando l’interazione umana soggetta a errori e la potenziale esposizione.
Infine, GitHub incoraggia gli utenti a rivedere la guida “Best Practices” per la gestione completa dei segreti.
