GitHub ofrece escaneo secreto gratuito a todos los repositorios públicos • TechCrunch


Todos los desarrolladores saben que no es una buena idea codificar las credenciales de seguridad en el código fuente. Pero sucede, y cuando sucede, las consecuencias pueden ser devastadoras. Anteriormente, GitHub solo puso su servicio de escaneo secreto a disposición de los usuarios corporativos pagados que pagaron por GitHub Advanced Security, pero a partir de hoy, la empresa propiedad de Microsoft está poniendo su servicio de escaneo secreto a disposición de todos los repositorios públicos de GitHub de forma gratuita.

Solo en 2022, la compañía notificó a los socios en su Programa de Afiliados de Escaneo de Secretos sobre más de 1.7 millones de secretos potenciales revelados en repositorios públicos. El servicio escanea repositorios en busca de más de 200 formatos de token conocidos, luego alerta a los socios sobre posibles fugas, y también puede definir sus propios patrones de expresiones regulares.

Autor de la foto: GitHub

"Con el escaneo encubierto, encontramos muchas cosas importantes que debemos abordar", dijo David Ross, ingeniero de seguridad de Postmates. "Por el lado de AppSec, esta suele ser la mejor manera de visualizar problemas en el código".

Ahora, cuando alojas tu código en GitHub, la empresa te notifica automáticamente y directamente sobre los secretos filtrados en tu código fuente. También significa que recibirá notificaciones de secretos cuando no haya un socio para notificar (tal vez porque usted mismo está alojando su HashiCorp Vault, por ejemplo).

Para usar el servicio, debe habilitar la función en la configuración de seguridad de GitHub. Sin embargo, el servicio se implementará gradualmente y no estará disponible para todos los usuarios hasta finales de enero de 2023.

Por supuesto, la propia herramienta de GitHub no es el único servicio que analiza en busca de secretos filtrados. También hay herramientas de código abierto como gitLeaks (que se integra con las acciones de GitHub) y una variedad de empresas de seguridad como Nightfall y Spectral de CheckPoint, aunque sus servicios suelen ir mucho más allá del escaneo encubierto y generalmente están enfocados en la empresa.

Si quieres conocer otros artículos parecidos a GitHub ofrece escaneo secreto gratuito a todos los repositorios públicos • TechCrunch puedes visitar la categoría Noticias.

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Subir