Nasza strona używa cookies. Dowiedz się więcej o celu ich używania i zmianie ustawień w przeglądarce. Korzystając ze strony, wyrażasz zgodę na używanie cookies, zgodnie z aktualnymi ustawieniami przeglądarki. Rozumiem

Atlassian, Dropbox, Discord i inni dołączają do funkcji skanowania tokenów na GitHubie

Github poszerza swoją listę partnerów o 5 dodatkowych wielkich firm IT, których tokeny będą teraz automatycznie wykrywane.
Atlassian, Dropbox, Discord i inni dołączają do funkcji skanowania tokenów na GitHubie

Funkcja skanowania tokenów na GitHubie, która znajduje w kodzie kryptograficzne sekrety, zanim dobiorą się do nich i wykorzystają je hakerzy, będzie od dziś wypatrywać tokenów zgodnych z Dropbox, Discord, Atlassian, Proctorio i Pulumi, czyli nowych partnerów Githuba, z którymi serwis będzie współpracował. 

Funkcja skanowania tokenów została uruchomiona w zeszłym roku wraz z wprowadzeniem GitHub Actions, która umożliwia automatyzację i poszerza działanie repozytoriów o zakres CI/CD.

Tokeny to unikalne klucze, które służą uwierzytelnieniu użytkowników w różnych usługach. Skanowanie tokenów ma zabezpieczyć je przed przypadkowym wyciekiem. Celem skanowania tokenów jest ochrona nieświadomych i nieuważnych użytkowników przed przypadkowym ujawnieniem tokenów oraz blokowanie dostępu osobom nieautoryzowanym, które mogłyby wykorzystać tokeny w niecnych celach. W przypadku, kiedy zostanie wykryty określony format takiego tokena, właściciel repozytorium zostanie poinformowany i będzie miał możliwość szybkiej interwencji. 

Skanowanie tokenów posiada jednak pewną lukę, mianowicie używa wyłącznie określonych formatów. Przed dodaniem wyżej wymienionych partnerów, lista rozpoznawanych formatów była znacznie krótsza. Nie przeszkodziło to GitHubowi wykryć ponad miliarda tokenów. Nie było to jednak rozwiązanie uniwersalne. Obecnie, z partnerami takimi jak Dropbox, Discord, Atlassian, Proctorio i Pulumi, program będzie mógł się rozwijać dalej o nowe rozszerzenia.

Dotychczas GitHub znajdował już tokeny takich partnerów, jak Alibaba Cloud, AWS, Azure, Google Cloud, Mailgun, npm, Slack, Stripe i Twilio. Każdy z partnerów wniesie swój wkład w symboliczną "bazę wiedzy" w celu zapewnienia bezpieczeństwa repozytoriów. 

Od siebie dodamy, że dobrą praktyką jest unikanie dodawania do repozytoriów wszelkich wrażliwych danych, danych logowania, tokenów i sekretów kryptograficznych.

Masz coś do powiedzenia?

Podziel się tym z 120 tysiącami naszych czytelników

Dowiedz się więcej