https://www.informationsecurity.com.tw/Seminar/2024_PaloAlto/
https://www.informationsecurity.com.tw/Seminar/2024_PaloAlto/

解決方案

GitHub開設「推送保護」 助開發人員避免意外洩漏機密

2024 / 03 / 04
編輯部
GitHub開設「推送保護」 助開發人員避免意外洩漏機密
GitHub宣布為所有公開程式碼儲存庫預設開啟推送保護功能,有效防範開發人員不小心將機密資訊如API金鑰或憑證公開推送。一旦偵測到推送內容含有敏感資料,開發人員將立即收到警示,可選擇移除機密資訊後再行推送,或是理解風險自行繞過阻擋。
 
根據GitHub的統計,2022年有高達1000萬次將敏感機密無意間外洩,而今年前幾個月更超過100萬次。外洩的機密資訊極有可能被駭客竊取並加以利用,導致系統受駭、資料外洩等嚴重後果。
 
推送保護能有效杜絕此類情節發生。這項功能會在開發人員推送認可至公開儲存庫前,先行掃描程式碼內容。這項功能可偵測來自180多家服務提供商的200多種權證類型和模式。一旦發現機密資料,系統便會立刻在IDE或CLI介面發出警報。
 
開發人員接著可以選擇移除問題程式碼並重新推送,或是在風險可控管的情況下,繞過阻擋程序。當然,也能透過設定將推送保護機制完全關閉,但GitHub並不建議這麼做。GitHub建議用戶依照實際需求逐一判斷是否繞過阻擋。
 
這項保護措施有助降低機密資訊遭駭客取用的風險,對於企業級的軟體開發過程更是重大助力。

不過推送保護目前僅適用最新版本的權證,對於一些舊版本可能產生誤判的情形,仍需人工識別與處理。

本文轉載自Helpnetsecurity。