Github在发现了一个惊人的3900万个秘密(API密钥,证书,作品)之后,加强了其安全性。2024年,存储库的诱人。这种曝光使用户和组织面临严重的风险。
根据Github的说法 报告,这种巨大的泄漏是通过其检测到的 秘密扫描服务,它标识了存储库中暴露的API密钥,密码和令牌。
Github在公告中说:“秘密泄漏仍然是最常见的和可预防的安全事件的原因之一,并指出,“随着我们比以前可以想象到的更快地制定代码,我们也比以往任何时候都更快地泄漏秘密。”
尽管诸如“推动保护”之类的措施,该措施于2022年4月推出,并在2024年2月在公共存储库上启用,但由于开发人员优先考虑方便时,秘密仍在继续泄漏,当时在提交过程中处理秘密并通过GIT历史记录进行意外储存库时。
为了解决这些泄漏,Github正在推出几种新的措施和增强:
- 独立的秘密保护和代码安全: 这些工具可作为单独的产品提供,不再需要完整的GitHub高级安全许可证,旨在为较小的团队负担得起。
- 自由组织范围内的秘密风险评估: 检查所有存储库(公共,私人,内部和存档)是否裸露的秘密,所有GitHub组织都可以免费提供。
- 通过委派旁路控制来推动保护: 在推出代码之前,增强了推动保护扫描,并允许组织定义谁可以绕过保护,从而增加了政策级别的控制。
- 副驾驶驱动的秘密检测: GitHub正在利用AI通过Copilot检测非结构化的秘密,例如密码,旨在提高准确性并降低误报。
- 通过云提供商合作伙伴关系改进了检测: Github正在与AWS,Google Cloud和OpenAI等提供商合作,以提高秘密检测器的准确性并加快对泄漏的响应。
Github解释说:“截至今天,我们的安全产品可以作为企业的独立产品购买,使开发团队能够快速扩展安全性。” “以前,投资于秘密扫描和推动保护需要购买更大的安全工具,这对许多组织来说太昂贵了。”
除了GitHub的升级外,还敦促用户采取主动步骤来保护秘密泄漏。建议包括在存储库,组织或企业级别启用推动保护,以抢先阻止秘密。 Github还建议使用环境变量,秘密经理或保险库消除硬编码的秘密。
该平台进一步建议使用与CI/CD管道和云平台集成的工具,以进行程序化秘密处理,最大程度地减少易于错误的人类互动和潜在的暴露。
最后,Github鼓励用户查看综合秘密管理的“最佳实践”指南。
