The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

GitHub включил по умолчанию систему защиты от утечек токенов к API

03.03.2024 13:13

GitHub объявил о включении по умолчанию для всех публичных репозиториев механизма защиты от попадания в репозитории конфиденциальных данных, по недосмотру оставленных разработчиками в коде. Например, случается, что в репозиторий попадают файлы конфигурации с паролями к СУБД, токены или ключи доступа к API. Ранее сканирование осуществлялось в пассивном режиме и позволяло выявлять уже произошедшие утечки, попавшие в репозиторий. Теперь проверка осуществляется автоматически на стадии публикации (git push) и приводит к выводу предупреждения при попытке добавления коммитов, в которых выявлено наличие конфиденциальных данных.

Реализовано более 250 шаблонов для выявления различных видов ключей, токенов, сертификатов и учётных данных. Для исключения ложных срабатываний проверяются только гарантированно определяемые типы токенов, охватывающие более 180 различных сервисов, включая Amazon Web Services, Azure, Crates.io, DigitalOcean, Google Cloud, NPM, PyPI, RubyGems и Yandex.Cloud. После выявления потенциальной утечки разработчику предлагается провести рецензирование проблемного кода, устранить утечку и повторить коммит или пометить блокировку ложной.

  1. Главная ссылка к новости (https://github.blog/2024-02-29...)
  2. OpenNews: GitHub обновил GPG-ключи из-за уязвимости, приводящей к утечке переменных окружения
  3. OpenNews: Новый поиск на GitHub привёл к выявлению забытых в репозиториях конфиденциальных данных
  4. OpenNews: Анализ утечек конфиденциальных данных через репозитории на GitHub
  5. OpenNews: В ходе атаки на GitHub захвачены ключи для подписи приложений GitHub Desktop и Atom
  6. OpenNews: Сбои в системах сборки из-за изменения контрольных сумм архивов в GitHub
Лицензия: CC BY 3.0
Короткая ссылка: https://opennet.ru/60719-github
Ключевые слова: github
При перепечатке указание ссылки на opennet.ru обязательно


Обсуждение (26) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.1, чатжпт (?), 13:23, 03/03/2024 [ответить] [﹢﹢﹢] [ · · · ]  
  • +4 +/
    жаль, где же теперь токены грабить
     
     
  • 2.2, разработчик (?), 13:26, 03/03/2024 [^] [^^] [^^^] [ответить]  
  • +8 +/
    да помечу как ложный, чо ты паришься - у меня из-за их дурацкой системы пуш не прошел, какого хрена!
     
  • 2.13, 12yoexpert (ok), 15:48, 03/03/2024 [^] [^^] [^^^] [ответить]  
  • –6 +/
    при чём тут grub?
     
  • 2.21, Аноним (21), 18:08, 03/03/2024 [^] [^^] [^^^] [ответить]  
  • +1 +/
    В base64 заверни.
     
     
  • 3.24, Golangdev (?), 02:20, 04/03/2024 [^] [^^] [^^^] [ответить]  
  • +/
    плюсую

    сам так креды стягиваю

     

  • 1.3, КО (?), 13:37, 03/03/2024 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    "гарантированно определяемые"
    Лол, спросил любого чат-бота, который натурально собирает все что может от этих "святых" компаний и вуаля!
     
  • 1.4, Аноним (4), 13:49, 03/03/2024 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Голову включать надо. А кто не включил и токен утёк, то обратно голову включать и завести привычку _не_ выключать.

    И всё сразу становится просто.

     
     
  • 2.5, Аноним (4), 13:50, 03/03/2024 [^] [^^] [^^^] [ответить]  
  • –1 +/
    P.S. Но вообще выглядит как очередное: папа пришёл и запретил делать там, где не папино дело с инициативами влезать. Типовой Мелкософт.
     

  • 1.6, 12yoexpert (ok), 14:00, 03/03/2024 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    что вообще токены могут делать в директории с проектом?
     
     
  • 2.7, Аноним (7), 14:06, 03/03/2024 [^] [^^] [^^^] [ответить]  
  • –2 +/
    Опеннетчики по другому неспособны
     
  • 2.8, чатжпт (?), 14:10, 03/03/2024 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Ну как, пишешь проект, секреты в каком-нибудь .env файле для безопасности (ты же умный и не хранишь пароли в коде), делаешь git add . и push. Готово.
     
     
  • 3.11, 12yoexpert (ok), 14:46, 03/03/2024 Скрыто ботом-модератором     [к модератору]
  • –5 +/
     
     
  • 4.14, Аноним (14), 15:57, 03/03/2024 Скрыто ботом-модератором     [к модератору]
  • +/
     
  • 4.22, bergentroll (ok), 21:13, 03/03/2024 Скрыто ботом-модератором     [к модератору]
  • +1 +/
     
     
  • 5.23, 12yoexpert (ok), 00:57, 04/03/2024 Скрыто ботом-модератором     [к модератору]
  • –3 +/
     

     ....ответы скрыты (6)

  • 1.9, Аноним (9), 14:16, 03/03/2024 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    Сегодня токены — а завтра LLMами будут определять нарушение DMCA (всяких альтернативные реализации, неофициальные либы работы с сервисами, читатели проприетарных форматов файлов), патентов, да и просто запрещённые вещи, вроде AUP.
     
     
  • 2.10, Аноним (10), 14:19, 03/03/2024 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Проверять на нвхожлении в базе данных закопирайченных произведений — это кстати требование законов, принятых европарламентом. Кто вступит в евросоюз — тот знает, на что подписывается.
     
  • 2.15, Аноним (14), 15:58, 03/03/2024 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Всё ради детей.
     
     
  • 3.17, Аноним (17), 16:49, 03/03/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Не помирать же с голоду. Что будет, если отлучить от жизненно необходимой пищи, продемонстрировали Амин и Бокасса. Конечно, выборка небольшая, ведь подобные исследования крайне негуманны, а потенциальные подопытные старательно смешиваются с толпой.
     
  • 3.19, Аноним (-), 17:00, 03/03/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Конечно, автор выше упоминает "да и просто запрещённые вещи, вроде AUP"
    Если он про AUP (Agile Unified Process), то да к агилю детей подпускать вообще негуманно!
    Вдруг они проникнутся вредными идеями и вырастут каким-то аджайл-коучем!
     
     
  • 4.28, Аноним (28), 14:57, 04/03/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Формулировки Аджайл вообще очень размыты. Вроде конкретно, а вроде и нет. Причём размыты настолько что большинство процессов можно выдать за Аджайл.
     
  • 4.29, Аноним (29), 17:37, 04/03/2024 [^] [^^] [^^^] [ответить]  
  • +/
    acceptable use policy же.
     
  • 2.18, Аноним (-), 16:55, 03/03/2024 [^] [^^] [^^^] [ответить]  
  • –2 +/
    Как будто нужны именно LLM для проверки DMCA.
    Думаю достаточно списка ключевых слов типа "nintendo", "sony", "emulator"))
    А потом пусть человек глазами смотрит.
    Ну или отправлять письмо соответствующим юристам.

    И вообще ты так пишешь, как будто наказывать нарушителей DMCA это что-то плохое.
    Люди нарушили лицензию и должны быть покараны, не важно это GPL, MIT или проприетарная.

     

  • 1.12, Аноним (12), 15:01, 03/03/2024 Скрыто ботом-модератором [﹢﹢﹢] [ · · · ]     [к модератору]
  • –2 +/
     
  • 1.20, Аноним (20), 17:15, 03/03/2024 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Интересно, а если это уже прокешили? Что выложено в интернете, не так легко стереть.
     
  • 1.27, Аноним (27), 11:39, 04/03/2024 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    А когда открытые ключи скроют?
     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Партнёры:
    PostgresPro
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2024 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру