Chaque développeur sait que c’est une mauvaise idée de coder en dur les informations d’identification de sécurité dans le code source. Pourtant, cela arrive et quand c’est le cas, les conséquences peuvent être désastreuses. Jusqu’à présent, GitHub ne mettait son service d’analyse secrète à la disposition des utilisateurs payants de l’entreprise qui payaient pour GitHub Advanced Security, mais à partir d’aujourd’hui, la société appartenant à Microsoft rend son service d’analyse secrète disponible gratuitement pour tous les repos GitHub publics.
Rien qu’en 2022, la société a informé les partenaires de son programme de partenariat de numérisation secrète de plus de 1,7 million de secrets potentiels qui ont été exposés dans des référentiels publics. Le service analyse les référentiels pour plus de 200 formats de jetons connus, puis alerte les partenaires des fuites potentielles – et vous pouvez également définir vos propres modèles regex.
Crédits image : GitHub
« Avec l’analyse secrète, nous avons trouvé une tonne de choses importantes à régler », a déclaré David Ross, ingénieur en sécurité chez Postmates. « Du côté AppSec, c’est souvent le meilleur moyen pour nous d’avoir une visibilité sur les problèmes dans le code. »
Désormais, si vous hébergez votre code sur GitHub, la société vous informera automatiquement et directement des secrets divulgués dans votre code source. Cela signifie également que vous recevrez des alertes pour les secrets où il n’y a pas de partenaire à notifier (peut-être parce que vous hébergez vous-même votre HashiCorp Vault, par exemple).
Pour commencer à utiliser le service, vous devez activer la fonctionnalité dans leurs paramètres de sécurité GitHub. Cependant, le déploiement du service sera progressif et il ne sera pas disponible pour tous les utilisateurs avant fin janvier 2023.
Le propre outil de GitHub n’est bien sûr pas le seul service à rechercher les secrets divulgués. Il existe également des outils open source comme Gitleaks (qui peut s’intégrer aux actions GitHub) et une pléthore de sociétés de sécurité comme Nightfall et CheckPoint’s Spectral, bien que leurs services aient tendance à aller bien au-delà de l’analyse secrète et soient généralement destinés aux entreprises.