يوسع Github الأدوات الأمنية بعد تسرب 39 مليون أسرار في عام 2024

أعلنت Github عن تحديثات لمنصة الأمان المتقدمة بعد أن اكتشفت أكثر من 39 مليون أسرار مسرب في المستودعات خلال عام 2024 ، بما في ذلك مفاتيح API وبيانات الاعتماد ، وتعريض المستخدمين والمؤسسات لمخاطر أمنية خطيرة.

في تقرير جديد صادر عن Github ، تقول شركة التطوير إن 39 مليون أسرار تم العثور عليها من خلال”https://docs.github.com/en/code-security/secret-scanning/introduction/about-secret-scanning” الهدف=”_blank” rel=”nofollow noopener”> خدمة المسح السرية، ميزة الأمان التي تكتشف مفاتيح API وكلمات المرور والرموز وغيرها من الأسرار في المستودعات.

“Secret leaks remain one of the most common—and preventable—causes of security incidents,” يقرأ إعلان جيثب.

“As we develop code faster than ever previously imaginable, we’re leaking secrets faster than ever, too.”

هذا يحدث على الرغم من تدابير حماية جيثب المستهدفة مثل “Push Protection,” الذي تم تقديمه في أبريل 2022 وكان”https://www.bleepingcomputer.com/news/security/github-enables-push-protection-by-default-to-stop-secrets-leak/” الهدف=”_blank” rel=”nofollow noopener”> تم تنشيطه بشكل افتراضي على جميع المستودعات العامة في فبراير 2024.

وفقًا لـ Github ، فإن الأسباب الرئيسية وراء استمرار أسرار التسرب هي تحديد أولويات الراحة من قبل المطورين الذين يتعاملون مع الأسرار أثناء الالتزامات والتعرض للمستودع العرضي من خلال تاريخ GIT.

github تجدد الأمن المتقدم

أعلنت Github عن العديد من التدابير والتحسينات الجديدة للأنظمة الحالية للتخفيف من التسريبات السرية على المنصة.

“As of today, our security products are available to purchase as standalone products for enterprises, enabling development teams to scale security quickly,” شرح جيثب.

“في السابق ، يتطلب الاستثمار في المسح السري وحماية الدفع شراء مجموعة أكبر من أدوات الأمان ، مما جعلها مكلفة للغاية بالنسبة للعديد من المنظمات.

“This change ensures scalable security with Secret Protection and Code Security is no longer out of reach for many organizations.”

يتم تلخيص التغييرات الأمنية المتقدمة Github على النحو التالي:

1. الحماية السرية المستقلة وأمن الكود – متوفر الآن كمنتجات منفصلة ، لم تعد هذه الأدوات تتطلب رخصة أمان متقدمة GitHub كاملة ، مما يجعلها أكثر تكلفة للفرق الأصغر.
2. تقييم مجاني على مستوى المنظمة على مستوى المنظمة -فحص في الوقت المحدد الذي يتحقق من جميع المستودعات (العامة والخاصة والداخلية والمؤرشفة) للأسرار المكشوفة ، مجانًا لجميع منظمات GitHub.
3. حماية الدفع مع الضوابط الالتفافية المفوضة -عمليات مسح حماية الدفع المحسنة للأسرار قبل دفع الكود وتسمح للمؤسسات بتحديد من يمكنه تجاوز الحماية ، مع إضافة التحكم على مستوى السياسة.
4. الكشف السري بين Copilot – يستخدم Github الآن الذكاء الاصطناعي عبر Copilot للكشف عن أسرار غير منظمة مثل كلمات المرور ، وتحسين الدقة وخفض الإيجابيات الخاطئة.
5. تحسين الكشف عبر شراكات مزود السحابة – يعمل Github مع مقدمي الخدمات مثل AWS و Google Cloud و Openai لبناء أجهزة كاشف سرية أكثر دقة والاستجابة بشكل أسرع للتسربات.

بصرف النظر عن مبادرات Github وتحسيناتها ، يتم منح المستخدمين أيضًا قائمة بالإجراءات الموصى بها لحماية أنفسهم من التسربات السرية.

أولاً ، يُقترح تمكين حماية الدفع في مستودع المستودع أو المؤسسة أو المؤسسة لمنع الأسرار قبل دفعها إلى مستودع.

يسلط Github أيضًا الضوء على أهمية تقليل المخاطر عن طريق القضاء على الأسرار المتشددين من التعليمات البرمجية المصدر تمامًا ، وبدلاً من ذلك باستخدام متغيرات البيئة أو المديرين السريين أو المداخن لتخزينها.

يقترح النظام الأساسي استخدام الأدوات التي تتكامل مع خطوط أنابيب CI/CD والمنصات السحابية للتعامل مع الأسرار بشكل برمجي ، مما يقلل من التفاعل البشري الذي يمكن أن يقدم الأخطاء والتعرض.

أخيرًا ، يوصى بمستخدمي GitHub لمراجعة ‘”https://cheatsheetseries.owasp.org/cheatsheets/Secrets_Management_Cheat_Sheet.html#1-introduction” الهدف=”_blank” rel=”nofollow noopener”> أفضل الممارسات”توجيه وتأكد من إدارة الأسرار بشكل مناسب من طرف إلى طرف.