Atlassian, Dropbox, Discord i inni dołączają do funkcji skanowania tokenów na GitHubie
Funkcja skanowania tokenów na GitHubie, która znajduje w kodzie kryptograficzne sekrety, zanim dobiorą się do nich i wykorzystają je hakerzy, będzie od dziś wypatrywać tokenów zgodnych z Dropbox, Discord, Atlassian, Proctorio i Pulumi, czyli nowych partnerów Githuba, z którymi serwis będzie współpracował.
Funkcja skanowania tokenów została uruchomiona w zeszłym roku wraz z wprowadzeniem GitHub Actions, która umożliwia automatyzację i poszerza działanie repozytoriów o zakres CI/CD.
Tokeny to unikalne klucze, które służą uwierzytelnieniu użytkowników w różnych usługach. Skanowanie tokenów ma zabezpieczyć je przed przypadkowym wyciekiem. Celem skanowania tokenów jest ochrona nieświadomych i nieuważnych użytkowników przed przypadkowym ujawnieniem tokenów oraz blokowanie dostępu osobom nieautoryzowanym, które mogłyby wykorzystać tokeny w niecnych celach. W przypadku, kiedy zostanie wykryty określony format takiego tokena, właściciel repozytorium zostanie poinformowany i będzie miał możliwość szybkiej interwencji.
Skanowanie tokenów posiada jednak pewną lukę, mianowicie używa wyłącznie określonych formatów. Przed dodaniem wyżej wymienionych partnerów, lista rozpoznawanych formatów była znacznie krótsza. Nie przeszkodziło to GitHubowi wykryć ponad miliarda tokenów. Nie było to jednak rozwiązanie uniwersalne. Obecnie, z partnerami takimi jak Dropbox, Discord, Atlassian, Proctorio i Pulumi, program będzie mógł się rozwijać dalej o nowe rozszerzenia.
Dotychczas GitHub znajdował już tokeny takich partnerów, jak Alibaba Cloud, AWS, Azure, Google Cloud, Mailgun, npm, Slack, Stripe i Twilio. Każdy z partnerów wniesie swój wkład w symboliczną "bazę wiedzy" w celu zapewnienia bezpieczeństwa repozytoriów.
Od siebie dodamy, że dobrą praktyką jest unikanie dodawania do repozytoriów wszelkich wrażliwych danych, danych logowania, tokenów i sekretów kryptograficznych.