GitHub rende disponibili i segreti di ricerca per tutti i repository pubblici

GitHub ora blocca tutte le informazioni come le chiavi API e le chiavi private e segrete nei repository pubblici per impostazione predefinita. D’ora in poi anche altre informazioni identificabili e sensibili verranno bloccate se gli utenti effettuano il push a un repository aperto tramite git. La funzione era precedentemente in versione beta.

Git Hub scritto in un post sul blog che la funzione chiamata protezione Push è ora ampiamente disponibile. Questa disponibilità si applica a tutti i repository pubblici sulla piattaforma. Inoltre, gli utenti possono applicare la funzione ai repository privati ​​se dispongono di un abbonamento Advanced Security.

La protezione push esegue la scansione di ogni commit in un repository pubblico per rilevare la presenza di segreti o informazioni sensibili. Ciò riguarda le chiavi API, i token di accesso, i segreti o le password che si trovano nel codice. GitHub blocca anche i certificati e altre informazioni potenzialmente riservate per impostazione predefinita. GitHub afferma che sta lavorando con più parti per aiutare a mantenere bassi i tassi di falsi positivi. L’azienda lavora con altri servizi come AWS e Google.

La funzione funziona direttamente da entrambi gli IDE con GUI e dalla riga di comando se gli utenti utilizzano strumenti come git. Gli utenti che inviano codice contenente segreti vedranno un avviso. Può essere ignorato, ma poi gli utenti devono inserire un motivo per cui è necessario inserire un segreto. Se lo fanno nel repository di una grande organizzazione, gli amministratori riceveranno una notifica.

La funzione è stata rilasciata in versione beta lo scorso anno, ma era disponibile solo per gli utenti di Advanced Security. Ce ne sono 17.000 durante il periodo beta perdite fermato, dice GitHub.