Um novo passo foi dado para tornar o open source mais seguro. A partir de hoje (6), os internautas poderão acrescentar a opção de Segurança Avançada do GitHub. O recurso possibilita fazer o escaneamento antes mesmo de que um “git push” seja aceito, o que evitará que vazamentos aconteçam por meio da varredura de credenciais.
Leia mais:
GitHub: confira as linguagens de programação mais usadas no Brasil (e no mundo)
Código-fonte híbrido é tendência em softwares de empresas, afirma especialista
Com a nova proteção, o GitHub verificará se há credenciais de alta confiança enquanto os desenvolvedores fazem “push” no código e irá bloqueá-lo caso uma credencial seja identificada. Credenciais de alta confiança têm uma taxa positiva baixa, de modo que as equipes de segurança podem proteger suas organizações sem comprometer a experiência dos desenvolvedores.
O GitHub procura por mais de 100 tipos diferentes de tokens para detectar credenciais. Se um deles for identificado, os desenvolvedores podem revisar e removê-lo de seu código antes de fazer um novo compartilhamento. Em raros casos em que a remediação não é eficiente ou não faz sentido, os desenvolvedores podem seguir adiante classificando o caso como um “falso-positivo” a ser tratado posteriormente.
Se a varredura de credenciais for contornada no momento do “push”, o GitHub gerará um alerta de segurança fechado para credenciais identificadas como cases de teste ou falsos positivos. Para aqueles marcados para serem resolvidos posteriormente, a plataforma gerará um alerta de segurança aberto tanto para o desenvolvedor quanto para o administrador do repositório. As equipes também podem aproveitar a visão geral da organização e da segurança a nível empresarial para rastrear sua estratégia geral, incluindo quaisquer alertas de escaneamento de credenciais.
Até o momento, foram detectadas mais de 700 mil credenciais em repositórios privados usando o escaneamento Segurança Avançada do GitHub. Além disso, a plataforma também escaneia as credenciais padrões de seus parceiros sem todos os repositórios públicos – gratuitamente.
Quer ficar por dentro do mundo da tecnologia e ainda baixar gratuitamente nosso e-book Manual de Segurança na Internet? Clique aqui e assine a newsletter do 33Giga