GitHub vai avisar se houver exposição de dados sensíveis no seu repositório

Varredura de código chega aos repositórios públicos e gratuitos do GitHub para evitar incidentes de segurança por vazamento de informações

Bruno Gall De Blasi
Por
Símbolo do GitHub (imagem: divulgação/GitHub)
Para fortalecer a segurança, GitHub leva varredura de código aos repositórios gratuitos (imagem: divulgação/GitHub)

Imagine a seguinte situação: você está subindo um código novo para o GitHub, mas, sem perceber, publica algo sigiloso. Pensando nisso, a plataforma da Microsoft anunciou, nesta quinta-feira (15), uma varredura para alertar desenvolvedores caso exista uma informação sensível em um repositório público. E o melhor: é de graça.

A atualização parte de uma ferramenta que já estava disponível para alguns parceiros da plataforma.

Com a mudança, a plataforma vai fazer uma varredora contínua nos repositórios abertos ao público para detectar chaves e outros tipos de credenciais armazenadas. Se o sistema encontrar algo nesta seara, o responsável pelo canal será alertado imediatamente para resolver a situação.

Toda essa preocupação não é em vão. Segundo o GitHub, só em 2022, mais de 1,7 milhão de segredos em potencial de parceiros foram expostos em repositórios públicos. E olha que o ano ainda nem acabou.

Estes dados sigilosos podem causar danos consideráveis caso caiam em mãos erradas. Por exemplo, se uma chave privada estiver guardada indevidamente no GitHub, a depender da situação, um hacker poderá utilizar a credencial para invadir um sistema e coletar outras informações sensíveis.

O mesmo pode acontecer com logins e senhas guardados em texto simples, problema que já acometeu até mesmo grandes empresas.

GitHub verifica códigos para verificar se não há vazamento de dados sensíveis (Imagem: Reprodução)
GitHub verifica códigos para verificar se não há vazamento de dados sensíveis (Imagem: Reprodução)

Como a varredura do GitHub funciona?

O funcionamento é bem simples.

A função de analise verifica os arquivos guardados no repositório. Sendo assim, ao subir alguma informação sigilosa, o sistema vai fazer uma varredura e avisar para que providências sejam tomadas o quanto antes.

“Você sempre terá um rastreamento fácil de todos os alertas para se aprofundar na origem do vazamento e auditar as ações tomadas no aviso”, afirmaram.

Para utilizar a novidade, é preciso ativar o recurso no seu repositório.

Se a sua conta já está elegível, basta entrar nas configurações do repositório e acessar a opção “Code security and analysis”. Depois é só ativar a varredura de código (“code scanning”, em inglês).

Os relatórios com as informações das análises estarão disponíveis na aba “Segurança”.

“Começaremos nosso lançamento beta público gradual da verificação secreta para repositórios públicos nesta quinta-feira (15) e esperamos que todos os usuários tenham o recurso até o final de janeiro de 2023”, explicaram.

Receba mais notícias do Tecnoblog na sua caixa de entrada

* ao se inscrever você aceita a nossa política de privacidade
Newsletter
Bruno Gall De Blasi

Bruno Gall De Blasi

Repórter

Bruno Gall De Blasi é jornalista e cobre tecnologia desde 2016. Sua paixão pelo assunto começou ainda na infância, quando descobriu "acidentalmente" que "FORMAT C:" apagava tudo. Antes de seguir carreira em comunicação, fez Ensino Médio Técnico em Mecatrônica com o sonho de virar engenheiro. Entrou para o Tecnoblog em 2020 e também escreveu para o TechTudo e iHelpBR.

Relacionados