GitHub a annoncé qu’il apportera sa capacité d’analyse secrète à davantage d’utilisateurs dans le but d’aider les administrateurs de référentiels publics à détecter les fuites de secrets dans leurs référentiels avant qu’une violation ne se produise.
Le lancement fait partie du programme partenaire de numérisation secrète, qui a été mis en place pour informer plus de 100 fournisseurs de services de l’exposition de jetons dans des référentiels publics.
La fonction n’était auparavant disponible que pour les organisations avec GitHub Advanced Security, mais elle sera désormais disponible pour les administrateurs de tous les référentiels publics.
Analyse secrète de Github
Github prétend rechercher plus de 200 formats de jetons (comme les clés API et les jetons d’authentification) qui prendraient généralement en moyenne 327 jours pour être identifiés, et a déjà informé ses partenaires de 1,7 million d’expositions secrètes potentielles dans les référentiels publics.
Le déploiement a déjà commencé sous forme bêta, et GitHub espère que tous ses membres y auront accès d’ici la fin janvier 2023. La société a également souligné un forum de discussion (s’ouvre dans un nouvel onglet) où les utilisateurs peuvent demander un accès anticipé ou discuter du produit plus en détail.
« Une fois que les alertes d’analyse secrètes sont disponibles sur votre référentiel, vous pouvez les activer dans les paramètres de votre référentiel sous les paramètres » Sécurité et analyse du code « », une entrée sur le blog de l’entreprise (s’ouvre dans un nouvel onglet) c’est noté.
« Vous pouvez voir tous les secrets détectés en accédant à l’onglet « Sécurité » de votre référentiel et en sélectionnant « Analyse secrète » dans le panneau latéral sous « Alertes de vulnérabilité ». Là, vous verrez une liste de tous les secrets détectés, et vous pouvez cliquer sur n’importe quelle alerte pour révéler le secret compromis, son emplacement et l’action suggérée pour la correction.
GitHub 2FA
En mettant l’accent sur son engagement en matière de sécurité, GitHub a également annoncé qu’il exigera que tous les utilisateurs qui contribuent au code mettent en place une authentification à deux facteurs (2FA) sur leurs comptes d’ici la fin de 2023, ce qui affectera environ 94 millions d’utilisateurs.
Un groupe restreint d’utilisateurs sera d’abord informé de cette vérification obligatoire en mars 2023, ce qui fournira une base d’évaluation avant que GitHub ne la transmette à l’ensemble de sa base d’utilisateurs.