每个开发人员都知道将安全凭证硬编码到源代码中是个坏主意。然而它确实发生了,一旦发生,后果可能是可怕的。到目前为止,GitHub 仅向付费企业用户提供其秘密扫描服务GitHub Advanced Security ,但从今天开始,这家微软旗下的公司将免费为所有公共 GitHub 存储库提供其秘密扫描服务。
仅在 2022 年,该公司就在其秘密扫描合作伙伴计划中通知了合作伙伴公共存储库中暴露的超过 170 万个潜在秘密。该服务扫描存储库以查找 200 多种已知的令牌格式,然后提醒合作伙伴潜在的泄漏——您也可以定义自己的正则表达式模式。
图片来源: GitHub
“通过秘密扫描,我们发现了大量需要解决的重要问题,”Postmates 的一名安全工程师大卫罗斯说。 “在 AppSec 方面,这通常是我们了解代码中问题的最佳方式。”
现在,如果你在 GitHub 上托管你的代码,公司会自动直接通知你源代码中泄露的秘密。这也意味着您将在没有合作伙伴通知的情况下收到秘密警报(例如,可能是因为您自行托管您的 HashiCorp Vault)。
要开始使用该服务,您必须在其 GitHub 安全设置中启用该功能。但是,该服务的推出将是渐进的,直到 2023 年 1 月底才会对所有用户开放。
GitHub 自己的工具当然不是唯一可以扫描泄露秘密的服务。还有开源工具,如gitLeaks (可以与 GitHub 操作集成)和大量安全公司,如Nightfall和 CheckPoint 的Spectral ,尽管它们的服务往往远远超出秘密扫描,而且通常面向企业。
GitHub 为Frederic Lardinois最初发布在TechCrunch上的所有公共存储库带来免费的秘密扫描
原文: https://techcrunch.com/2022/12/15/github-brings-free-secret-scanning-to-all-repos/