GitHub是透過Git進行版本控制的開源軟體平台,版本控制的目的是備份與共享。近日GitHub宣布加入GitHub Advanced Security-秘密掃描(Secret Scanning)功能,以防止用戶在推送程式碼時,將敏感資訊上傳至Repository(Git的儲存庫), 避免意外事件而導致機密資訊外洩。
這些敏感資訊常見的為程式與伺服器溝通時所使用的令牌(token)或私鑰(private key),通常用於程式與外部進行溝通,並常被建議不要儲存於資料庫,而是存在外部專用的安全位置。GitHub將推出69種不同的令牌類型,但並非可用於所有程式碼中,此新功能主要保護置於項目工作流程的程式碼。
該公司表示,GitHub Advanced Security的新推送保護功能將秘密掃描嵌入到開發人員的工作流程中,為了在不影響開發效率的情況下,該功能只實現在可以被準確檢測的令牌類型,因此Facebook和幾種Google令牌的類型並無包含在內。
SolarWinds為一家幫助企業管理網路與系統等的軟體開發公司,該公司曾表示,若GitHub數據庫中的私有資訊意外洩露會導致許多問題,以往曾發生過一間公司之實習生將密碼儲存於資料庫中,然而卻被意外洩漏。2019年的一項研究發現,超過100,000個資料庫中存有令牌或私鑰,使得駭客可以通過搜尋常見的令牌類型等方式輕鬆地破解,因此GitHub希望能透過新增的秘密掃描功能來遏止此類事項發生。
相關連結:
Joe Uchill(2022). GitHub Advanced Security now scans for secrets with each push. SCMedia.
檢自:
https://www.scmagazine.com/analysis/application-security/github-advanced-security-now-scans-for-secrets-with-each-push (Apr. 18, 2022)
