O gigante de desenvolvimento de software GitHub anunciou na quarta-feira um aprimoramento em seu recurso de verificação secreta, agora permitindo aos usuários verificar a validade das credenciais expostas para os principais serviços em nuvem.
Geralmente disponível desde março de 2023, o recurso de verificação de segredos tem como objetivo ajudar organizações e desenvolvedores a identificar segredos potencialmente expostos em seus repositórios e tomar medidas imediatas.
Apoiado por um grande número de provedores de serviços no GitHub Partner Program, o recurso envia alertas aos desenvolvedores quando chaves auto-hospedadas expostas são detectadas e também notifica os parceiros do GitHub sobre segredos vazados em repositórios públicos.
Os desenvolvedores e administradores podem ativar a verificação secreta de todos os seus repositórios para receber notificações assim que um segredo for incluído inadvertidamente em um commit de código.
Para ajudar organizações e desenvolvedores a fazer a triagem de alertas e corrigir tokens expostos com mais rapidez, o GitHub introduziu verificações de validade para seus próprios tokens no início deste ano, eliminando a necessidade de verificar se cada token exposto está ativo ou não.
Agora, a plataforma de hospedagem de código está expandindo a capacidade de Tokens AWS, Google, Microsoft e SlackGitHub disse.
“Eles representam alguns dos tipos mais comuns de segredos detectados em repositórios no GitHub. Expandiremos continuamente o suporte de validação para mais tokens em nosso programa de parceiros de digitalização secreta.
Proprietários de empresas e administradores de repositório podem ativar as verificações de validação em “Segurança e análise de código” em “Configurações”, ativando a opção “Verificar automaticamente se um segredo é válido enviando-o ao parceiro relevante” na seção “Verificação secreta”.
Após habilitar a configuração, informações sobre se um token exposto está ativo ou não serão incluídas nos alertas recebidos.
As verificações, diz o GitHub, são realizadas periodicamente em segundo plano, mas verificações manuais também podem ser feitas clicando em ‘Verificar segredo’ no canto superior direito.
“As verificações de validade são outra informação à sua disposição ao investigar um alerta de verificação secreta. Esperamos que esse recurso forneça maior velocidade e eficiência na triagem de alertas e esforços de correção”, acrescentou GitHub.