GitHub gaat bepaalde commits scannen op tokens en private keys voor publicatie – Computer – Nieuws

GitHub gaat commits van bepaalde organisaties voor publicatie scannen op secrets als tokens en private keys. Nu gebeurt dat scannen pas achteraf, als de geheimen al door kwaadwillenden te zien zijn. De proactieve scanner kijkt naar 69 veelvoorkomende secrets.

Als ontwikkelaars code pushen waarin een bekende secret wordt geopenbaard, dan verschijnt er een waarschuwing in beeld. Ontwikkelaars kunnen dan de code aanpassen en de secret eruit halen. Gebruikers kunnen er ook voor kiezen om de code alsnog te pushen, als het bijvoorbeeld gaat om testcode of een false positive.

GitHub scant op 69 verschillende soorten secrets die zijn aangeleverd door partners en andere organisaties. Er wordt bijvoorbeeld gescand naar sessietokens en secret-access-keys van AWS, Cloud Access Keys van Alibaba Cloud, en Cloud Storage Access Keys van Google.

Secrets zijn bijvoorbeeld authorisatietokens of accesskeys voor externe diensten, maar het kunnen ook intern gebruikte wachtwoorden zijn. GitHub raadt ontwikkelaars aan die secrets op te slaan buiten de GitHub-repo’s. Slaan ontwikkelaars die namelijk binnen publieke GitHub-repo’s op, dan zijn deze secrets door anderen in te zien en uit te buiten.

De proactieve secretscanner is alleen beschikbaar voor bedrijven die van het betaalde GitHub Advanced Security-programma gebruikmaken. Deze organisaties moeten de proactieve secretscanner bovendien zelf inschakelen. Advanced Security bevat ook een scanner die code na publicatie kan scannen op zowel de aanwezigheid van secrets als op kwetsbaarheden.