Les développeurs obtiennent des fonctionnalités de numérisation secrète avancées gratuites et ciblées sur GitHub pour protéger les organisations contre les secrets exposés.
Plus de 39 millions de clés d’API, de références et d’autres secrets ont été divulgués sur la plate-forme de Github l’année dernière, mais une mise à jour de son outil de numérisation pourrait aider à arrêter cela.
La plate-forme de contrôle de version basée sur le cloud largement utilisée bloque automatiquement «plusieurs secrets chaque minute» de la production, mais les fuites secrets restent un défi majeur pour les utilisateurs du service.
Bien que les secrets soient souvent exposés accidentellement, de nombreuses violations proviennent également de développeurs bien intentionnés qui les partagent intentionnellement sans réaliser les risques, a déclaré Github dans un article de blog.
«Les développeurs sous-estiment souvent le risque d’exposition privée, de commettre, de partager ou de stocker ces secrets d’une manière qui se sent pratique dans le moment, mais qui introduit le risque au fil du temps», a-t-il déclaré.
La société a mis à jour son produit de sécurité premium, GitHub Advanced Security (GHAS) pour aider les développeurs à éviter de faire de telles erreurs.
Nouveaux secrets scanner avec des idées
Dans le cadre de la mise à jour GHAS 3.18, les abonnés recevront gratuitement une nouvelle analyse ponctuelle. Disponible dans l’onglet «Paramètres» du tableau de bord GHAS, l’analyse aidera les développeurs à trouver des secrets exposés dans leur code organisationnel ainsi que sur l’évaluation des risques secrètes.
« Une fois activé, Github exécutera un scan point à temps sur tous les référentiels publics, privés, internes et archivés dans votre organisation », a déclaré Github. « Les résultats sont statiques et ne seront pas automatiquement mis à jour. Vous pourrez également télécharger les résultats en tant que fichier CSV. »
Les informations offertes en tant que résultats de numérisation comprendront des secrets divulgués par type, des secrets visibles publiquement dans ses référentiels publics et des référentiels affectés pour chaque type secret, selon le blog.
Déboulonner les GHAS pour l’accessibilité
Offrant sa promesse le mois dernier à étendre l’accès aux secrets avancés et à la numérisation du code à des organisations de toutes tailles, GitHub a divisé ses offres GHAS en tant que protection secrète autonome et abonnements de sécurité du code.
« Auparavant, investir dans la numérisation secrète et la protection contre les poussées a obligé l’achat d’une plus grande suite d’outils de sécurité, ce qui a rendu entièrement l’investissement inabordable pour de nombreuses organisations », a déclaré Github, ajoutant que le changement permettra également aux équipes de développement dans des organisations plus petites pour évoluer rapidement la sécurité.
Les abonnés des GHAS existants obtiendront une option de transition au renouvellement, tandis que les clients avec des plans basés sur le paiement et les plans peuvent être transférés à tout moment.
Sécurité pour tous
La plate-forme GitHub, qui aide les développeurs à collaborer, à gérer et à suivre les changements dans leur code, gère un modèle de tarification à plusieurs niveaux qui facture aux abonnés en fonction de l’utilisation, de la taille organisationnelle et des exigences de stockage. Les différents plans mensuels sont gratuits (0 $), l’équipe (4 $) et l’entreprise (21 $).
Il semble que les abonnés de l’équipe aient été recueillis pour accéder à GHAS, une fonctionnalité exclusive aux clients de Premium Enterprise jusqu’à présent.
« À ce jour, nous déploions des modifications supplémentaires à notre disponibilité des fonctionnalités, en nous alignant sur notre objectif continu pour aider les organisations de toutes tailles se protéger du risque de secrets exposés », a déclaré Github, ajoutant « une sécurité avancée (GHAS) pour les organisations d’équipe Github » comme l’une des mises à niveau.
Cela s’applique à la fonction «Push Protection» existante que GitHub propose dans le cadre (scanner des secrets) des GHAS. Cette fonctionnalité, disponible depuis août 2023, aux abonnés en entreprise, détecte et bloque les engagements avec un secret. GitHub l’a activé par défaut pour tous les clients d’entreprise en février 2024, avec une option pour le contourner pour un bloc de code.
