O gigante de desenvolvimento de software GitHub anunciou na quarta-feira um aprimoramento em seu recurso de verificação secreta, agora permitindo aos usuários verificar a validade das credenciais expostas para os principais serviços em nuvem.

Geralmente disponível desde março de 2023, o recurso de verificação de segredos tem como objetivo ajudar organizações e desenvolvedores a identificar segredos potencialmente expostos em seus repositórios e tomar medidas imediatas.

Apoiado por um grande número de provedores de serviços no GitHub Partner Program, o recurso envia alertas aos desenvolvedores quando chaves auto-hospedadas expostas são detectadas e também notifica os parceiros do GitHub sobre segredos vazados em repositórios públicos.

Os desenvolvedores e administradores podem ativar a verificação secreta de todos os seus repositórios para receber notificações assim que um segredo for incluído inadvertidamente em um commit de código.

Para ajudar organizações e desenvolvedores a fazer a triagem de alertas e corrigir tokens expostos com mais rapidez, o GitHub introduziu verificações de validade para seus próprios tokens no início deste ano, eliminando a necessidade de verificar se cada token exposto está ativo ou não.

Agora, a plataforma de hospedagem de código está expandindo a capacidade de Tokens AWS, Google, Microsoft e SlackGitHub disse.

“Eles representam alguns dos tipos mais comuns de segredos detectados em repositórios no GitHub. Expandiremos continuamente o suporte de validação para mais tokens em nosso programa de parceiros de digitalização secreta.

Proprietários de empresas e administradores de repositório podem ativar as verificações de validação em “Segurança e análise de código” em “Configurações”, ativando a opção “Verificar automaticamente se um segredo é válido enviando-o ao parceiro relevante” na seção “Verificação secreta”.

Após habilitar a configuração, informações sobre se um token exposto está ativo ou não serão incluídas nos alertas recebidos.

As verificações, diz o GitHub, são realizadas periodicamente em segundo plano, mas verificações manuais também podem ser feitas clicando em ‘Verificar segredo’ no canto superior direito.

“As verificações de validade são outra informação à sua disposição ao investigar um alerta de verificação secreta. Esperamos que esse recurso forneça maior velocidade e eficiência na triagem de alertas e esforços de correção”, acrescentou GitHub.

antonio-cesar-150x150
António César de Andrade

Apaixonado por tecnologia e inovação, traz notícias do seguimento que atua com paixão há mais de 15 anos.