GitHub הופך את סריקת הסודות לזמינה עבור כל המאגרים הציבוריים ודורשת מכל המפתחים לאפשר אימות דו-גורמי עבור החשבונות שלהם. שירות סריקת הסודות יהיה זמין לכל המשתמשים עד סוף ינואר, ו-2FA חובה יהיה במקום עד סוף 2023, אמר GitHub.
סריקה לאיתור סודות
השמיים שירות סריקה סודי מתריע למפתחים כאשר סודות כגון אסימוני אפליקציה ואישורי משתמש נחשפים בקוד. עד כה, השירות היה זמין למשתמשים ארגוניים בתשלום (דרך GitHub Advanced Security). המדיניות החדשה תספק את השירות בחינם לכל מאגרי GitHub הציבוריים.
השירות לסריקת סודות עזר לזהות 1.7 מיליון סודות פוטנציאליים שנחשפו במאגרים ציבוריים בשנת 2022, אמר GitHub.
בעוד שהסורק יכול לזהות למעלה מ-200 פורמטים ידועים של אסימון, ישנה גם אפשרות לעשות זאת להגדיר דפוסי ביטוי רגולרי מותאמים אישית. "אתה יכול להגדיר דפוסים מותאמים אישית ברמת המאגר, הארגון והארגון... כאשר הגנת דחיפה מופעלת, GitHub יאכוף חסימות כאשר תורמים ינסו לדחוף קוד שמכיל התאמות לדפוס שהוגדר", אמרה החברה.
מפתחים יוכלו למצוא את האפשרות הזו בהגדרות המאגר שלהם תחת אבטחת קוד וניתוח, שם יש קטע שנקרא התראות פגיעות, וכרטיסיית אבטחה. כל הסודות שנמצאו על ידי השירות יוצגו באותו חלק, יחד עם דרכים מוצעות לתיקון החשיפות.
2FA לכל
החברה דיברה על הפיכת 2FA לחובה בכל הפלטפורמה, והדרישה תתחיל הושק במרץ 2023. משתמשים יקבלו תזכורות 45 ימים לפני המועד שבו עליהם להפעיל את 2FA, והחשבונות שלהם ייחסמו אם 2FA עדיין לא מופעל שבעה ימים לאחר המועד האחרון, אמרה החברה.
משתמשים הנדרשים להפעלת 2FA כוללים את אלה שמפרסמים אפליקציות או חבילה של GitHub או OAuth, אלה שיוצרים מהדורה, מנהלי ארגונים וארגונים, ואלה שתורמים קוד למאגרים אחרים.
"אנו נעריך את תוצאות ההשקה לאחר כל קבוצה - נבחן את שיעורי ההצלחה של המשתמשים עבור כניסת 2FA, שיעורי נעילת החשבון וההתאוששות, וכמות כרטיסי התמיכה שלנו. נתונים אלה יאפשרו לנו להתאים את הגישה שלנו ולהתאים יותר לגודל ולתזמן את הקבוצות הנותרות לפי הצורך כדי להבטיח חוויה חיובית למפתחים, ולתמוך בעומסי עבודה ש- GitHub יכול להחזיק", הכריז GitHub.
