GitHub cung cấp quét bí mật miễn phí các kho lưu trữ công cộng

GitHub đang tiến xa hơn với việc phân tích các bí mật khi đã cung cấp chức năng quét mã trong hơn hai năm để tìm kiếm các lỗ hổng

Các kho lưu trữ mã nguồn mở chứa rất nhiều thông tin có giá trị. Vì vậy, các tin tặc rất quan tâm đến nó. Các nền tảng lớn trong lĩnh vực này như Github, GitLab hay Bitbucket đều đang đẩy mạnh tính bảo mật. Sau khi cung cấp tính năng quét mã miễn phí cho các kho lưu trữ public hơn hai năm trước , Github đang thực hiện lại lần này với tính năng quét bí mật (secret scanning), chẳng hạn như bao gồm cả keys và tokens.

Nhà cung cấp cho biết: “Secret scanning tìm kiếm các bí mật trong toàn bộ lịch sử Git của bạn trên tất cả các nhánh trong kho lưu trữ GitHub của bạn”. “Nó chạy tự động trên tất cả các kho public. Bất kỳ chuỗi nào khớp với các mẫu do các đối tác phân tích bí mật cung cấp đều được báo cáo trực tiếp cho đối tác thích hợp”

Tham gia chương trình quét bí mật trên GitHub

  1. Contact GitHub để bắt đầu quá trình.
  2. Xác định các bí mật liên quan mà bạn muốn quét và tạo các biểu thức thông thường (regular expressions) để bắt chúng.
  3. Đối với các bí mật trùng khớp được tìm thấy trong các kho lưu trữ public, hãy tạo một dịch vụ cảnh báo bí mật chấp nhận các webhook từ GitHub chứa tải trọng thông báo quét bí mật.
  4. Thực hiện xác minh chữ ký trong dịch vụ cảnh báo bí mật của bạn.
  5. Thực hiện thu hồi bí mật và thông báo người dùng trong dịch vụ cảnh báo bí mật của bạn.
  6. Cung cấp phản hồi tích cực nếu false (tùy chọn).

Việc phân tích bí mật trong kho lưu trữ riêng tư sẽ cần trả phí

Lưu ý rằng chức năng này luôn miễn phí cho tất cả người dùng của nền tảng nhưng chỉ dành cho các kho lưu trữ công khai. Để trải nghiệm quét các bí mật trong kho lưu trữ mã riêng tư, bạn sẽ cần phải thông qua giấy phép có trả phí, GitHub Enterprise Cloud hoặc Advanced Security.

Xem thêm thông báo tại: GitHub

Leave a Reply

Your email address will not be published. Required fields are marked *