GitHub a annoncé la disponibilité générale d’une nouvelle fonctionnalité de sécurité appelée anti-pousséequi vise à empêcher les développeurs de divulguer par inadvertance des clés et d’autres secrets dans leur code.
La plate-forme d’hébergement de référentiel basée sur le cloud appartenant à Microsoft, qui a commencé tester la fonctionnalité il y a un an, a déclaré qu’il étendait également la protection push à tous les référentiels publics sans frais supplémentaires.
La fonctionnalité est conçue pour fonctionner main dans la main avec l’existant fonction de numérisation secrètequi analyse les référentiels à la recherche de formats secrets connus pour empêcher leur utilisation frauduleuse et éviter des conséquences potentiellement graves.
« La protection push empêche les fuites secrètes sans compromettre l’expérience du développeur en analysant les secrets hautement identifiables avant qu’ils ne soient commis », GitHub a dit plus tôt cette semaine.
« Lorsqu’un secret est détecté dans le code, les développeurs sont invités directement dans leur IDE ou leur interface de ligne de commande avec des conseils de correction pour s’assurer que le secret n’est jamais exposé. »
Alors que anti-poussée peut être contourné en fournissant une raison (par exemple, test, faux positif ou risque acceptable), les administrateurs du référentiel et de l’organisation et les responsables de la sécurité seront informés de ces événements par e-mail.
Apprenez à arrêter les ransomwares avec une protection en temps réel
Rejoignez notre webinaire et découvrez comment arrêter les attaques de ransomwares dans leur élan grâce à la MFA en temps réel et à la protection des comptes de service.
Pour activer l’option, les utilisateurs peuvent se diriger vers Paramètres> Sélectionnez « Sécurité et analyse du code »> Activer « Analyse secrète » et « Protection Push ».
On estime que la protection push, depuis sa mise en ligne en avril 2022 en version bêta, a empêché 17 000 fuites secrètes accidentelles, économisant plus de 95 000 heures qui auraient autrement été consacrées à la révocation, la rotation et la correction des secrets compromis, a ajouté la société.
Le développement intervient près de cinq mois après que GitHub a rendu l’analyse secrète gratuite pour tous les référentiels publics, permettant aux utilisateurs d’être informés des fuites de secrets dans leurs référentiels.