GitHub veut mieux protéger vos secrets

© iStock.

GitHub a annoncé que son service d’alertes de détection de “secrets” est désormais disponible pour tous les dépôts publics et qu’il peut être activé pour détecter les fuites de secrets dans tout l’historique de publication. Les “secrets” sont des données sensibles laissées par inadvertance dans le code et qui se retrouvent ajoutées accidentellement aux dépôts GitHub, notamment des clés d’API, des mots de passe, des jetons d’authentification et d’autres données confidentielles qui peuvent permettre aux attaquants de réaliser des intrusions. Des acteurs malintentionnés ont souvent recours aux dépôts publics de GitHub pour y trouver des données d’authentification et pouvoir pénétrer dans les réseaux, voler des données ou encore usurper l’identité d’une entreprise dans leurs propres attaques. GitHub avait commencé à déployer une version bêta de cette fonction gratuite de détection des secrets en décembre 2022 afin d’aider les développeurs à déceler l’exposition publique accidentelle de données sensibles. Depuis lors, 70 000 dépôts publics ont activé la nouvelle fonctionnalité et tous les propriétaires/administrateurs de dépôts publics peuvent activer ces alertes pour sécuriser leurs données.

GitHub partage l’exemple offert par le consultant et formateur DevOps Rob Bos pour souligner la puissance du détecteur de secrets. Après avoir activé la fonction sur 13 954 dépôts publics GitHub Actions, Rob a trouvé des secrets sur 1110 d’entre eux (7,9 %).

⇨ The GitHub Blog, Zain Malik, Mariam Sulakian, “Secret scanning alerts are now available (and free) for all public repositories.”

2023-03-01