مایکروسافت در حال ارتقا برخی قابلیتهای امنیتی گیت هاب است و پس از اعلام خبر اجباری شدن استفاده از 2FA حالا این کمپانی پشتیبانی از اسکن رمزعبورها و توکنهای تایید هویتی لو رفته را نیز تایید کرده و این ویژگی جدید که Secret scanning نام دارد یک قابلیت امنیتی است که سازمانها میتوانند برای اسکن repository های نرمافزاری استفاده کنند و این قابلیت میتواند افشای اطلاعات مخفی سازی شده را تشخیص دهد.
با این حال کارکرد Secret scanning گیت هاب خیلی نوآورانه و پیچیده نیست و مانند دیگر سرویسهای امنیتی با اسکن و مقایسه محتوای ارائه شده توسعه دهندگان با الگوهای لو رفته مشخص میشود. گیتهاب هر الگو را که مورد مطابقت با محتوای لو رفته باشد با اعلام هشدار امنیتی مشخص میکند و اطلاع میدهد.
پیش از این سرویس اسکن مخفی در اختیار سازمانهایی بود که از قابلیت GitHub Enterprise Cloud همراه با GitHub Advanced Security استفاده میکردند، اما حالا این ویژگی قرار است در اختیار همه قرار گیرد. اسکن انجام شده توسط گیت هاب برای بیش از 200 فرمت توکن انجام میشود که شامل کلیدهای API، توکنهای احراز هویت، دسترسی، certificate مدیریتی، رمزعبورها و کلیدهای خصوصی میشود.
گیت هاب در این خصوص اعلام کرده که تنها از ابتدای سال جاری میلادی بیش از 1.7 میلیون هشدار درباره افشای اسرار احتمالی در repository های عمومی منتشر کرده است. Mariam Sulakian و Zain Malik در این رابطه اعلام کردند که گیت هاب به تازگی اسکن مخفی را برای تمام مخازن عمومی در جامعه گیت هاب به صورت رایگان در دسترس قرار میدهد و این افراد در ادامه اظهار کردند که انتظار دارند تا پایان ژانویه 2023 همهی کاربران از این ویژگی برخوردار شوند.
پس از فعال شدن این قابلیت در repository های نرمافزاری، گیت هاب به طور خودکار توسعه دهندگان را از اسرار احتمالی فاش شده در کدهای خود با خبر میکند و این به شرکتها و توسعه دهندگان اجازه فعالیت مناسبتر در زمینه امنیت محصولات نرمافزاری خود را میدهد.
دیدگاهتان را بنویسید