La fonctionnalité de protection push de GitHub, introduite en version bêta en avril 2022, est désormais généralement disponible, a annoncé la société.
Cette fonctionnalité rend tous les référentiels de code plus sûrs en les empêchant de divulguer des informations sensibles telles que les clés API.
La protection push fonctionne en analysant les secrets avant que les opérations « git push » ne soient acceptées, a expliqué la société, ajoutant que 69 types de jetons sont pris en charge, y compris les clés API, les clés privées, les clés secrètes, les jetons d’authentification, les jetons d’accès, les certificats de gestion, etc.
Amélioration de la sécurité de GitHub
Bien que certains faux positifs puissent se produire, ils devraient être rares.
« Si vous poussez un commit contenant un secret, une invite de protection push apparaîtra avec des informations sur le type de secret, l’emplacement et la manière de remédier à l’exposition », a déclaré GitHub. « La protection push ne bloque que les secrets avec de faibles taux de faux positifs, donc lorsqu’un commit est bloqué, vous savez que cela vaut la peine d’enquêter. »
La protection push est en version bêta depuis plus d’un an maintenant, et pendant cette période, les développeurs qui l’ont utilisée ont réussi à éviter 17 000 fuites de données sensibles et économisé plus de 95 000 heures qu’ils auraient autrement dû consacrer à la résolution du problème des données compromises. , affirme GitHub.
« Aujourd’hui, la protection push est généralement disponible pour les référentiels privés avec une licence GitHub Advanced Security (GHAS) », a ajouté GitHub. « De plus, pour aider les développeurs (s’ouvre dans un nouvel onglet) et les mainteneurs de l’open source sécurisent leur code de manière proactive, GitHub rend la protection push gratuite pour tous les référentiels publics. »
Si vous souhaitez donner un coup de pouce à la protection push, vous pouvez le faire via l’API ou en cliquant sur le menu correspondant dans l’interface utilisateur : rendez-vous sur GitHub.com > accédez à la page principale > cliquez sur Paramètres > recherchez « Sécurité » et cliquez sur « Sécurité et analyse du code » > recherchez « Configurer la sécurité et l’analyse du code » et recherchez « GitHub Advanced Security » > Allez dans « Secret scanning » > recherchez « Push protection » et activez-le.
Les développeurs peuvent également l’activer pour des référentiels uniques en accédant à la boîte de dialogue Paramètres > Sécurité et analyse > GitHub Advanced Security.