GitHub ha anunciado la disponibilidad general de una nueva característica de seguridad llamada protección de empujecuyo objetivo es evitar que los desarrolladores filtren inadvertidamente claves y otros secretos en su código.
La plataforma de alojamiento de repositorios basada en la nube propiedad de Microsoft, que comenzó probando la función hace un año, dijo que también extenderá la protección push a todos los repositorios públicos sin costo adicional.
La funcionalidad está diseñada para trabajar mano a mano con la existente función de escaneo secretoque analiza los repositorios en busca de formatos secretos conocidos para evitar su uso fraudulento y evitar consecuencias potencialmente graves.
«La protección push evita filtraciones de secretos sin comprometer la experiencia del desarrollador mediante el análisis de secretos altamente identificables antes de que se comprometan», GitHub dicho a principios de esta semana.
«Cuando se detecta un secreto en el código, a los desarrolladores se les solicita directamente en su IDE o en la interfaz de línea de comandos una guía de remediación para garantizar que el secreto nunca quede expuesto».
Mientras protección de empuje puede omitirse proporcionando un motivo (p. ej., prueba, falso positivo o riesgo aceptable), los administradores del repositorio y la organización y los gerentes de seguridad serán notificados de tales eventos por correo electrónico.
Aprenda a detener el ransomware con protección en tiempo real
Únase a nuestro seminario web y aprenda cómo detener los ataques de ransomware en seco con MFA en tiempo real y protección de cuenta de servicio.
Para habilitar la opción, los usuarios pueden dirigirse a Configuración> Seleccionar «Seguridad y análisis de código»> Habilitar «Escaneo secreto» y «Protección de inserción».
Se estima que la protección push, desde que se lanzó en abril de 2022 como versión beta, evitó 17 000 filtraciones accidentales de secretos, lo que ahorró más de 95 000 horas que, de lo contrario, se habrían dedicado a revocar, rotar y remediar los secretos comprometidos, agregó la compañía.
El desarrollo se produce casi cinco meses después de que GitHub hizo que el escaneo de secretos fuera gratuito para todos los repositorios públicos, lo que permite a los usuarios recibir notificaciones sobre secretos filtrados en sus repositorios.