GitHub sekarang secara otomatis memblokir kebocoran informasi sensitif seperti kunci API dan token akses untuk semua repositori kode publik.
Pengumuman hari ini datang setelah perusahaan memperkenalkan perlindungan dorong dalam versi beta lebih dari satu tahun yang lalu, pada April 2022.
Fitur ini secara proaktif mencegah kebocoran dengan memindai rahasia sebelum operasi ‘git push’ diterima, dan itu bekerja dengan 69 jenis token (Kunci API, kunci privat, kunci rahasia, token autentikasi, token akses, sertifikat manajemen, kredensial, dan lainnya) dapat dideteksi dengan tingkat deteksi “false positive” yang rendah.
“Jika Anda mendorong komit yang berisi rahasia, permintaan perlindungan dorong akan muncul dengan informasi tentang jenis rahasia, lokasi, dan cara memulihkan paparan,” GitHub dikatakan Hari ini.
“Perlindungan push hanya memblokir rahasia dengan tingkat positif palsu yang rendah, jadi ketika komit diblokir, Anda tahu itu perlu diselidiki.”
Sejak rilis beta, pengembang perangkat lunak yang mengaktifkannya berhasil mencegah sekitar 17.000 pemaparan informasi sensitif yang tidak disengaja, menghemat lebih dari 95.000 jam yang akan dihabiskan untuk mencabut, memutar, dan memulihkan rahasia yang disusupi, menurut GitHub.
Sebelum hari ini, fitur ini hanya dapat diaktifkan untuk repositori pribadi oleh organisasi dengan lisensi GitHub Advanced Security, GitHub kini juga membuatnya tersedia secara umum di semua repo publik.
“Saat ini, perlindungan push umumnya tersedia untuk repositori pribadi dengan lisensi GitHub Advanced Security (GHAS),” kata perusahaan itu.
“Selain itu, untuk membantu pengembang dan pengelola di seluruh open source mengamankan kode mereka secara proaktif, GitHub membuat perlindungan push gratis untuk semua repositori publik.”
Cara mengaktifkan perlindungan dorong pemindaian rahasia
Organisasi dengan GitHub Advanced Security dapat mengaktifkan fitur perlindungan dorong pemindaian rahasia di tingkat repositori dan organisasi melalui API atau hanya dengan satu klik dari antarmuka pengguna.
Prosedur mendetail untuk mengaktifkan perlindungan push untuk organisasi Anda mengharuskan Anda untuk:
- Di GitHub.com, navigasikan ke halaman utama organisasi.
- Di bawah nama organisasi Anda, klik Pengaturan.
- Di bagian “Keamanan” di sidebar, klik Keamanan dan analisis kode.
- Di bawah “Konfigurasikan keamanan dan analisis kode”, temukan “Keamanan Lanjutan GitHub”.
- Di bawah “Pemindaian rahasia”, klik Aktifkan semua di samping “Perlindungan dorong”.
- Secara opsional, klik “Aktifkan secara otomatis untuk repositori pribadi yang ditambahkan ke pemindaian rahasia.”
Itu juga dapat diaktifkan untuk repositori tunggal dengan mengaktifkannya dari setiap repo’s Settings > Security & analysis > GitHub Advanced Security dialog.
Rincian lebih lanjut tentang menggunakan perlindungan push dari baris perintah atau mengizinkan beberapa rahasia untuk didorong tersedia di Situs dokumentasi GitHub.
Kredensial dan rahasia yang terbuka telah menyebabkan pelanggaran berdampak tinggi dalam beberapa tahun terakhir, seperti yang dilaporkan BleepingComputer sebelumnya [1, 2, 3].
Oleh karena itu, mengaktifkan perlindungan push untuk repositori pribadi atau gratis di repositori publik untuk memastikan bahwa dorongan kode diblokir secara otomatis jika mengandung rahasia adalah cara sederhana untuk bertahan dari kebocoran yang tidak disengaja dengan potensi dampak masif.
