Jeder Entwickler weiß, dass es keine gute Idee ist, Sicherheitsanmeldeinformationen fest in den Quellcode zu codieren. Doch es passiert, und wenn es passiert, können die Folgen verheerend sein. Bisher stellte GitHub seinen geheimen Scan-Service nur zahlenden Unternehmensbenutzern zur Verfügung, die dafür bezahlten Erweiterte GitHub-Sicherheitaber ab heute stellt das Microsoft-eigene Unternehmen seinen Dienst zum Scannen von Geheimnissen für alle öffentlichen GitHub-Repositorys kostenlos zur Verfügung.
Allein im Jahr 2022 hat das Unternehmen seine Partner benachrichtigt geheimes Scanning-Partnerprogramm von über 1,7 Millionen potenziellen Geheimnissen, die in öffentlichen Repositories offengelegt wurden. Der Dienst durchsucht Repositories nach über 200 bekannten Token-Formaten und warnt dann Partner vor potenziellen Lecks – und Sie können auch Ihre eigenen Regex-Muster definieren.
Bildnachweis: GitHub
„Beim geheimen Scannen haben wir eine Menge wichtiger Dinge gefunden, die wir ansprechen müssen“, sagte David Ross, ein Sicherheitsingenieur bei Postmates. „Auf der AppSec-Seite ist dies oft der beste Weg, um Probleme im Code sichtbar zu machen.“
Wenn Sie Ihren Code jetzt auf GitHub hosten, benachrichtigt Sie das Unternehmen automatisch direkt über durchgesickerte Geheimnisse in Ihrem Quellcode. Das bedeutet auch, dass Sie Benachrichtigungen für Geheimnisse erhalten, wenn es keinen Partner gibt, den Sie benachrichtigen können (vielleicht weil Sie beispielsweise Ihren HashiCorp Vault selbst hosten).
Um den Dienst nutzen zu können, müssen Sie die Funktion in ihren GitHub-Sicherheitseinstellungen aktivieren. Der Rollout des Dienstes erfolgt jedoch schrittweise und steht erst Ende Januar 2023 allen Nutzern zur Verfügung.
Das GitHub-eigene Tool ist natürlich nicht der einzige Dienst, der nach durchgesickerten Geheimnissen scannt. Es gibt auch Open-Source-Tools wie z gitLeaks (die in GitHub-Aktionen integriert werden können) und eine Vielzahl von Sicherheitsunternehmen wie Einbruch der Dunkelheit und CheckPoints Spektralobwohl ihre Dienste in der Regel weit über das geheime Scannen hinausgehen und im Allgemeinen auf Unternehmen ausgerichtet sind.