Her geliştirici, güvenlik kimlik bilgilerini kaynak koduna gömmenin kötü bir fikir olduğunu bilir. Yine de olur ve olduğu zaman, sonuçlar korkunç olabilir. Şimdiye kadar GitHub, gizli tarama hizmetini yalnızca ödeme yapan kurumsal kullanıcılara sunuyordu. GitHub Gelişmiş Güvenlikancak bugünden itibaren Microsoft’a ait şirket, gizli tarama hizmetini tüm genel GitHub depoları için ücretsiz olarak kullanıma sunuyor.
Yalnızca 2022’de şirket, ortaklarını bilgilendirdi. gizli tarama ortak programı halka açık depolarda açığa çıkan 1,7 milyondan fazla potansiyel sır. Hizmet, depoları bilinen 200’den fazla belirteç biçimi için tarar ve ardından ortakları olası sızıntılara karşı uyarır – ve siz de kendi normal ifade kalıplarınızı tanımlayabilirsiniz.
Postmates’te personel güvenlik mühendisi olan David Ross, “Gizli taramayla ele alınacak bir ton önemli şey bulduk” dedi. “AppSec tarafında, genellikle koddaki sorunlara ilişkin görünürlük elde etmenin en iyi yolu budur.”
Şimdi, kodunuzu GitHub’da barındırırsanız, şirket kaynak kodunuzdaki sızdırılmış sırlar hakkında sizi otomatik olarak doğrudan bilgilendirecektir. Bu ayrıca, bildirecek bir iş ortağının olmadığı sırlar için uyarılar alacağınız anlamına gelir (örneğin, HashiCorp Kasanızı kendiniz barındırdığınız için olabilir).
Hizmeti kullanmaya başlamak için özelliği GitHub güvenlik ayarlarında etkinleştirmeniz gerekir. Ancak, hizmetin kullanıma sunulması kademeli olacak ve Ocak 2023’ün sonuna kadar tüm kullanıcılar tarafından kullanılamayacaktır.
GitHub’ın kendi aracı elbette sızan sırları tarayan tek hizmet değildir. Gibi açık kaynaklı araçlar da vardır. gitLeaks (GitHub eylemleriyle entegre olabilir) ve çok sayıda güvenlik şirketi gibi Akşam karanlığı ve CheckPoint’ler Spektralancak hizmetleri gizli taramanın çok ötesine geçme eğilimindedir ve genellikle işletmelere yöneliktir.