The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

GitHub реализовал возможность упреждающей блокировки утечек токенов к API

05.04.2022 08:50

GitHub объявил об усилении защиты от попадания в репозитории конфиденциальных данных, по недосмотру оставленных разработчиками в коде. Например, случается, что в репозиторий попадают файлы конфигурации с паролями к СУБД, токены или ключи доступа к API. Ранее сканирование осуществлялось в пассивном режиме и позволяло выявлять уже произошедшие утечки, попавшие в репозиторий. Для предотвращения утечек GitHub дополнительно начал предоставлять опцию для автоматического блокирования коммитов, в которых выявлено наличие конфиденциальных данных.

Проверка осуществляется при выполнении git push и приводит к генерации предупреждения о нарушении безопасности в случае выявления в коде токенов для подключения к типовым API. Всего реализовано 69 шаблонов для выявления различных видов ключей, токенов, сертификатов и учётных данных. Для исключения ложных срабатываний проверяются только гарантированно определяемые типы токенов. После блокировки разработчику предлагается провести рецензирование проблемного кода, устранить утечку и повторить коммит или пометить блокировку ложной.

Опция для превентивного блокирования утечек пока доступна только организациям, имеющим доступ к сервису "GitHub Advanced Security". Сканирование в пассивном режиме осуществляется бесплатно для всех публичных репозиториев, но остаётся платным для приватных репозиториев. Сообщается, что пассивное сканирование уже выявило более 700 тысяч утечек конфиденциальных данных в приватных репозиториях.

  1. Главная ссылка к новости (https://github.blog/2022-04-04...)
  2. OpenNews: Производитель дронов DJI по ошибке опубликовал закрытые ключи и пароли
  3. OpenNews: Новый поиск на GitHub привёл к выявлению забытых в репозиториях конфиденциальных данных
  4. OpenNews: Представлен Gitleaks 1.0, инструмент для аудита git-репозиториев
  5. OpenNews: Около 390 тысяч сайтов оставили открытыми каталоги .git с кодом
  6. OpenNews: Анализ утечек конфиденциальных данных через репозитории на GitHub
Лицензия: CC-BY
Тип: Проблемы безопасности
Короткая ссылка: https://opennet.ru/56968-github
Ключевые слова: github
При перепечатке указание ссылки на opennet.ru обязательно


Обсуждение (18) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.1, YetAnotherOnanym (ok), 11:13, 05/04/2022 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    Лучше бы отправляли к автору коммита ликтора с пучком розог.
     
     
  • 2.2, пох. (?), 13:28, 05/04/2022 [^] [^^] [^^^] [ответить]  
  • +1 +/
    учитывая количества ОНО - им может так понравиться, что ключей не напасешься.

     

  • 1.3, Аноним (3), 17:11, 05/04/2022 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Это они хорошо сделали, молодцы. Раньше приходилось для этого скрипты писать с учётом разных платформ и инструкции для разработчиков, которые никто не читает. Надо попробовать накоммитить фейковых ключей и если работает, выбросить ¾ этой скриптовой лапши из репы.
     
     
  • 2.4, Аноним (4), 17:20, 05/04/2022 [^] [^^] [^^^] [ответить]  
  • +/
    > приходилось для этого скрипты писать

    да что у вас за разрабы такие? хренак-хренак не глядя, git add . && git commit -m 'Привет, влей пожалуйста, оч надо'

     
     
  • 3.5, onanim (?), 22:06, 05/04/2022 [^] [^^] [^^^] [ответить]  
  • +/
    во всех компаниях размером более пяти человек такие разрабы
    а кое-где и менее пяти.
     
  • 3.6, пох. (?), 22:23, 05/04/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Во-первых, где он других рабов тебе поналовит?
    Во-вторых почему только разрабы? Еще есть девляпс-отдел. С инфраструктурка as a cocococoде!

    "У нас все конфиги - в репо!" Куда он тебе еще ключи положит?

     
     
  • 4.8, Аноним (8), 04:55, 06/04/2022 [^] [^^] [^^^] [ответить]  
  • +/
    А у тебя где конфиги? В единственном экземпляре в /etc без лога аудита? Кроме локалхоста своего что-нибудь видел?

     
     
  • 5.12, пох. (?), 17:18, 06/04/2022 [^] [^^] [^^^] [ответить]  
  • +/
    В /etc/, да. Без ненужного лога ненужно, который читать будет примерно никто и никогда.

    А твои ключи - сегодня достались всему миру, потому что "реп по умолчанию паблик", ой, ну недоглядели, ну бываит, разработчиков много, люди имеють право на ошибку (люди?! Какие еще люди?! Хвост в штанину просунул и думает - сойдет!)

    А мои не достались, потому что у макакеров нет к ним доступа вообще, и они никогда не попадут ни в какой "реп".

     
     
  • 6.16, Аноним (8), 04:32, 07/04/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Да и локалхост твой тоже никому, в общем-то, не сдался. Но речь про бизнес-решения, где и лог читать надо, и неподписанные правильным ключом коммиты дальше дев-кластера не попадут.
     
     
  • 7.17, пох. (?), 09:49, 07/04/2022 [^] [^^] [^^^] [ответить]  
  • +/
    > Да и локалхост твой тоже никому, в общем-то, не сдался. Но речь
    > про бизнес-решения

    админ локалхоста п-дит мне тут про "бизнес решения" виденные им только в фантазиях, как мило.

    >, где и лог читать надо, и неподписанные правильным ключом
    > коммиты дальше дев-кластера не попадут.

    а подписанные правильным ключом коммиты с ключами - уютно лежат для всеобщего обозрения. Да, у великих админов дев-кластеров оно примерно так и есть.

    Причем они ничему не учатся, ибо необучаемы. Ну вот, зато шитхаб о вас позаботился, бизнесрешатели подвальные.

     
     
  • 8.19, Аноним (3), 19:32, 07/04/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Ну не дуйся ты так, через каких лет десять доверят и тебе что-то кроме замены ка... текст свёрнут, показать
     
  • 3.7, Аноним (8), 04:53, 06/04/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Разрабы — самые обычные люди, которые иногда совершают ошибки. И чтобы эти ошибки не были фатальными, существует комплекс мер по их предотвращению. Где-то не так?
     
     
  • 4.9, X86 (ok), 08:08, 06/04/2022 [^] [^^] [^^^] [ответить]  
  • +1 +/
    "Иногда" надо заменить на "очень часто".
     
     
  • 5.13, пох. (?), 17:19, 06/04/2022 [^] [^^] [^^^] [ответить]  
  • +/
    это ни разу не ошибка. Это современный стиль разработки и адми...ой, простите, девоп-подхода. Администрирование это ваше - позапрошлый век, им никто давно не занимается, некогда, спринт не ждет!

     
     
  • 6.15, Аноним (8), 04:29, 07/04/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Я больше 20 лет админю, начинал с хтонических санов, z/OS и прочей нечисти. До сих пор поражаюсь, что не перевелись идиоты, которые хотят обратно к этому откатиться. Любое изменение занимало месяцы, при этом качество кода поддерживалось вручную, от форматирования до выявления типовых ошибок. Вместо прогона статического анализатора на каждый коммит, Александр и Валерий по пятницам шерстили свешие коммиты в CVS (!) в поисках обращений к неинициализированным переменным, выходов за пределы массивов и так далее. Мартышкин труд, на который убиты годы чьей-то жизни.
     
     
  • 7.18, пох. (?), 10:06, 07/04/2022 [^] [^^] [^^^] [ответить]  
  • +/
    > обратно к этому откатиться. Любое изменение занимало месяцы, при этом качество

    поэтому говенные иногда успевали похоронить до выкладывания в прод. Бизнес и по сей день примерно так и работает - continuous desintegration это для лохов-конечных пользователей, а за подобное обращение с деньгами хозяев можно и под децимацию угодить.

    > кода поддерживалось вручную, от форматирования до выявления типовых ошибок. Вместо прогона

    зато все ключи от всего не выкладывались на шитхаб автоматически и без всяких сомнений. Впрочем, автоформатировалки кода существуют примерно с середины 80х. Как и триггеры в cvs. Что вы ими не умели пользоваться - опять же говорит только о вашей неквалифицированности, гордо пронесенной через пол-века.

    Безусловно ваши нужные и полезные изменения важнее донести до прода сию секунду, чем обеспечить безопасность этого самого прода. К счастью, так думают еще не везде, но, к сожалению, эпоха одноразовых (нуль разовых потому что рушатся при первом же проходе поезда - зато очень-очень быстро чинятся) мостов уже наступила.

    В прямом смысле тоже - потому что технологические системы тоже делают так же и теми же руками. Только вопрос времени когда что-то невиртуальное и очень ядовитое йапнет не в Индии а в так называемой цивилизованной стране.

     
  • 5.14, Аноним (8), 04:22, 07/04/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Если очень часто, то тем более нужны меры. Но я с такими не работаю, я их всех тебе оставил.
     
  • 3.11, Тфьу (?), 16:09, 06/04/2022 [^] [^^] [^^^] [ответить]  
  • +/
    раз было так: организация с приватными репами, человек по привычке сделал реп, закинул туда какие-то свои настройки, ну и ключи AWS. реп по умолчанию публичный создается. вот и получилось.
     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Спонсоры:
    PostgresPro
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2022 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру