عرضه گسترده قابلیت Secret scanning گیت هاب تا ژانویه 2023

مایکروسافت در حال ارتقا برخی قابلیت‌های امنیتی گیت هاب است و پس از اعلام خبر اجباری شدن استفاده از 2FA حالا این کمپانی پشتیبانی از اسکن رمزعبورها و توکن‌های تایید هویتی لو رفته را نیز تایید کرده و این ویژگی جدید که Secret scanning نام دارد یک قابلیت امنیتی است که سازمان‌ها می‌توانند برای اسکن repository های نرم‌افزاری استفاده کنند و این قابلیت می‌تواند افشای اطلاعات مخفی سازی شده را تشخیص دهد.

با این حال کارکرد Secret scanning گیت هاب خیلی نوآورانه و پیچیده نیست و مانند دیگر سرویس‌های امنیتی با اسکن و مقایسه محتوای ارائه شده توسعه دهندگان با الگوهای لو رفته مشخص می‌شود. گیت‌هاب هر الگو را که مورد مطابقت با محتوای لو رفته باشد با اعلام هشدار امنیتی مشخص می‌کند و اطلاع می‌دهد.

پیش از این سرویس اسکن مخفی در اختیار سازمان‌هایی بود که از قابلیت GitHub Enterprise Cloud همراه با GitHub Advanced Security استفاده می‌کردند، اما حالا این ویژگی قرار است در اختیار همه قرار گیرد. اسکن انجام شده توسط گیت هاب برای بیش از 200 فرمت توکن انجام می‌شود که شامل کلیدهای API، توکن‌های احراز هویت، دسترسی، certificate مدیریتی، رمزعبورها و کلیدهای خصوصی می‌شود.

گیت هاب در این خصوص اعلام کرده که تنها از ابتدای سال جاری میلادی بیش از 1.7 میلیون هشدار درباره افشای اسرار احتمالی در repository های عمومی منتشر کرده است. Mariam Sulakian و Zain Malik در این رابطه اعلام کردند که گیت هاب به تازگی اسکن مخفی را برای تمام مخازن عمومی در جامعه گیت هاب به صورت رایگان در دسترس قرار می‌دهد و این افراد در ادامه اظهار کردند که انتظار دارند تا پایان ژانویه 2023 همه‌ی کاربران از این ویژگی برخوردار شوند.

پس از فعال شدن این قابلیت در repository های نرم‌افزاری، گیت هاب به طور خودکار توسعه دهندگان را از اسرار احتمالی فاش شده در کدهای خود با خبر می‌کند و این به شرکت‌ها و توسعه دهندگان اجازه فعالیت مناسب‌تر در زمینه امنیت محصولات نرم‌افزاری خود را می‌دهد.

• اجبار به استفاده از 2FA برای تمام حساب های گیت هاب در 2023
• آپدیت جدید اپل برای برطرف سازی مشکل امنیتی در Webkit سافاری
• بازنشسته کردن الگوریتم هش SHA-1 توسط NIST و توصیه عدم استفاده از آن