GitHub vai avisar se houver exposição de dados sensíveis no seu repositório

Varredura de código chega aos repositórios públicos e gratuitos do GitHub para evitar incidentes de segurança por vazamento de informações

Bruno Gall De Blasi
Por

Imagine a seguinte situação: você está subindo um código novo para o GitHub, mas, sem perceber, publica algo sigiloso. Pensando nisso, a plataforma da Microsoft anunciou, nesta quinta-feira (15), uma varredura para alertar desenvolvedores caso exista uma informação sensível em um repositório público. E o melhor: é de graça.

Para fortalecer a segurança, GitHub leva varredura de código aos repositórios gratuitos (imagem: divulgação/GitHub)
Para fortalecer a segurança, GitHub leva varredura de código aos repositórios gratuitos (imagem: divulgação/GitHub)

A atualização parte de uma ferramenta que já estava disponível para alguns parceiros da plataforma.

Com a mudança, a plataforma vai fazer uma varredora contínua nos repositórios abertos ao público para detectar chaves e outros tipos de credenciais armazenadas. Se o sistema encontrar algo nesta seara, o responsável pelo canal será alertado imediatamente para resolver a situação.

Toda essa preocupação não é em vão. Segundo o GitHub, só em 2022, mais de 1,7 milhão de segredos em potencial de parceiros foram expostos em repositórios públicos. E olha que o ano ainda nem acabou.

Estes dados sigilosos podem causar danos consideráveis caso caiam em mãos erradas. Por exemplo, se uma chave privada estiver guardada indevidamente no GitHub, a depender da situação, um hacker poderá utilizar a credencial para invadir um sistema e coletar outras informações sensíveis.

O mesmo pode acontecer com logins e senhas guardados em texto simples, problema que já acometeu até mesmo grandes empresas.

GitHub verifica códigos para verificar se não há vazamento de dados sensíveis (Imagem: Reprodução)
GitHub verifica códigos para verificar se não há vazamento de dados sensíveis (Imagem: Reprodução)

Como a varredura do GitHub funciona?

O funcionamento é bem simples.

A função de analise verifica os arquivos guardados no repositório. Sendo assim, ao subir alguma informação sigilosa, o sistema vai fazer uma varredura e avisar para que providências sejam tomadas o quanto antes.

“Você sempre terá um rastreamento fácil de todos os alertas para se aprofundar na origem do vazamento e auditar as ações tomadas no aviso”, afirmaram.

Para utilizar a novidade, é preciso ativar o recurso no seu repositório.

Se a sua conta já está elegível, basta entrar nas configurações do repositório e acessar a opção “Code security and analysis”. Depois é só ativar a varredura de código (“code scanning”, em inglês).

Os relatórios com as informações das análises estarão disponíveis na aba “Segurança”.

“Começaremos nosso lançamento beta público gradual da verificação secreta para repositórios públicos nesta quinta-feira (15) e esperamos que todos os usuários tenham o recurso até o final de janeiro de 2023”, explicaram.

Relacionados

Relacionados