يتيح GitHub فحص الأسرار لجميع المستودعات العامة ويطلب من جميع المطورين تمكين المصادقة الثنائية لحساباتهم. قالت GitHub إن خدمة فحص الأسرار ستكون متاحة لجميع المستخدمين بحلول نهاية يناير ، وسيتم تفعيل المصادقة الثنائية الإلزامية بحلول نهاية عام 2.
البحث عن الأسرار
• خدمة المسح السري ينبه المطورين عند كشف أسرار مثل الرموز المميزة للتطبيق وبيانات اعتماد المستخدم في التعليمات البرمجية. حتى الآن ، كانت الخدمة متاحة لمستخدمي المؤسسات المدفوعة (عبر GitHub Advanced Security). ستوفر السياسة الجديدة الخدمة مجانًا لجميع مستودعات GitHub العامة.
قالت GitHub إن خدمة البحث عن الأسرار ساعدت في تحديد 1.7 مليون سر محتمل تم الكشف عنها في المستودعات العامة في عام 2022.
بينما يمكن للماسح الضوئي التعرف على أكثر من 200 تنسيق رمزي معروف ، إلا أنه يوجد أيضًا خيار تحديد أنماط regex المخصصة. قالت الشركة: "يمكنك تحديد أنماط مخصصة على مستوى المستودع ، والمؤسسة ، والمؤسسة ... مع تمكين حماية الدفع ، ستفرض GitHub الكتل عندما يحاول المساهمون دفع التعليمات البرمجية التي تحتوي على تطابقات مع النمط المحدد".
سيتمكن المطورون من العثور على هذا الخيار في إعدادات المستودع الخاصة بهم ضمن أمان الكود وتحليله ، حيث يوجد قسم يسمى تنبيهات الثغرات الأمنية وعلامة تبويب الأمان. سيتم عرض جميع الأسرار التي عثرت عليها الخدمة في نفس القسم ، إلى جانب الطرق المقترحة لمعالجة حالات التعرض.
2FA للجميع
كانت الشركة تتحدث عن جعل 2FA إلزاميًا عبر النظام الأساسي ، وسيبدأ المطلب سيتم طرحه في مارس 2023. قالت الشركة إن المستخدمين سيتلقون تذكيرات قبل 45 يومًا عندما يتعين عليهم تشغيل المصادقة الثنائية ، وسيتم حظر حساباتهم إذا لم يتم تمكين المصادقة الثنائية بعد سبعة أيام من الموعد النهائي.
يشمل المستخدمون المطلوبون لتمكين المصادقة الثنائية (2FA) أولئك الذين ينشرون تطبيقات أو حزمة GitHub أو OAuth ، وأولئك الذين ينشئون إصدارًا ، ومسؤولو المؤسسة والمؤسسة ، وأولئك الذين يساهمون في التعليمات البرمجية في مستودعات أخرى.
"سنقوم بتقييم نتائج الطرح بعد كل مجموعة - مع ملاحظة معدلات نجاح المستخدم في إعداد المصادقة الثنائية (2FA) ، ومعدلات إغلاق الحساب واستعادته ، وحجم بطاقة الدعم لدينا. ستمكننا هذه البيانات من تعديل نهجنا وحجم وجدولة المجموعات المتبقية بشكل أكثر ملاءمة حسب الحاجة لضمان تجربة إيجابية للمطورين ، ودعم أعباء العمل التي يمكن أن يتحملها GitHub ، "أعلن GitHub.
