🔥 UBND xã Kroong, thành Phố Kon Tum đã đăng ký tín nhiệm. 🔥                    🔥 Trường Tiểu học Vinh Quang đã đăng ký tín nhiệm. 🔥                    🔥 Trường Đại học Kinh tế Kỹ thuật - Công nghiệp đã đăng ký tín nhiệm. 🔥                    🔥 Sở Tư pháp tỉnh Lâm Đồng đã đăng ký tín nhiệm. 🔥                    🔥 Trang Thông tin về Phổ biến, giáo dục pháp luật tỉnh Lâm Đồng đã đăng ký tín nhiệm. 🔥                   
Đăng ký ngay

GitHub tự động ngăn chặn rò rỉ token và API key cho các kho lưu trữ công khai

11/05/2023

GitHub hiện đang tự động ngăn chặn việc rò rỉ các thông tin nhạy cảm như khóa API (API key) và các token truy cập cho tất cả các kho lưu trữ mã nguồn công khai.

Thông báo được đưa ra hơn một năm sau khi công ty giới thiệu tính năng push protection ở phiên bản thử nghiệm vào tháng 4 năm 2022.

Tính năng bảo vệ này sẽ chủ động ngăn chặn rò rỉ bằng cách quét các thông tin nhạy cảm (secret) trước khi các thao tác 'git push' được chấp nhận. Nó có thể phát hiện 69 loại token bao gồm khóa API, khóa bí mật, token xác thực, token truy cập, chứng chỉ quản lý, thông tin đăng nhập,... với tỷ lệ cảnh báo sai thấp.

GitHub cho biết rằng “nếu bạn đang push một commit có chứa secret, cảnh báo push protection sẽ xuất hiện cùng với thông tin về loại bí mật, vị trí và cách khắc phục việc bị lộ”. Khi một commit bị chặn, bạn nên kiểm tra lại và loại bỏ secret nếu có để đảm bảo thông tin nhạy cảm của bạn không bị lộ sau khi đưa lên Github.

Theo GitHub, kể từ khi phát hành thử nghiệm, các nhà phát triển đã kích hoạt tính năng này đã chặn thành công khoảng 17.000 thông tin nhạy cảm do vô tình bị lộ, tiết kiệm hơn 95.000 giờ đáng lẽ phải dùng để thu hồi, thay đổi và khắc phục các thông tin bí mật bị xâm phạm.

GitHub hiện đang cung cấp miễn phí tính năng này trên tất cả các kho lưu trữ công khai. Ngoài ra, nó cũng có sẵn cho các kho lưu trữ bí mật có giấy phép GitHub Advanced Security (GHAS).

Cảnh báo Push protection (GitHub)

Cách bật Push protection

Các tổ chức có GitHub Advanced Security có thể kích hoạt Push protection để quét các thông tin nhạy cảm ở cả kho lưu trữ và tổ chức thông qua API hoặc thực hiện trực tiếp thông qua giao diện người dùng.

Các bước chi tiết để kích hoạt Push protection cho tổ chức như sau:

- Trên GitHub.com, điều hướng đến trang chính của tổ chức.

- Bên dưới tên tổ chức của bạn, nhấp vào Settings (Cài đặt).

- Trong phần "Security" (Bảo mật) của thanh sidebar, nhấp vào Code security and analysis (Phân tích và bảo mật mã).

- Trong phần "Configure code security and analysis" (Cấu hình phân tích và bảo mật mã), hãy tìm "GitHub Advanced Security".

- Trong phần "Secret scanning" (quét bí mật), hãy nhấp vào Enable all bên cạnh "Push protection".

Như một tùy chọn, bạn có thể nhấp vào "Automatically enable for private repositories added to secret scanning" (Tự động bật cho các kho lưu trữ bí mật được thêm vào quá trình quét bí mật).

Bạn cũng có thể kích hoạt tính năng này cho các kho lưu trữ đơn lẻ bằng cách chuyển nó từ Settings > Security & analysis > GitHub Advanced Security dialog (Cài đặt > Bảo mật & phân tích > Hộp thoại Bảo mật nâng cao GitHub) của mỗi kho lưu trữ.

Kích hoạt Push protection (GitHub)

Thông tin chi tiết về cách sử dụng Push protection từ dòng lệnh hoặc cho phép push một số secret có sẵn trên trang tài liệu của GitHub.

Thông tin đăng nhập và bí mật bị lộ đã dẫn đến các vụ vi phạm có tác động lớn trong những năm gần đây [123]. Do đó, ngăn chặn điều này xảy ra là hành động cần thiết phải thực hiện. Kích hoạt Push protection cho tất cả các kho lưu trữ để đảm bảo các thao tác push mã sẽ tự động bị chặn nếu chúng có chứa bất kỳ thông tin nhạy cảm nào là một cách đơn giản để ngăn chặn rò rỉ.

Nguồn: bleepingcomputer.com.

scrolltop