Github renforce sa sécurité après avoir trouvé 39 millions de secrets stupéfiants – les clés de l’API, les informations d’identification, les travaux – en fuite des référentiels en 2024. Cette exposition met les utilisateurs et les organisations à risque grave.
Selon Github rapportcette fuite massive a été détectée par son service de balayage secretqui identifie les clés API exposées, les mots de passe et les jetons dans les référentiels.
« Les fuites secrètes restent l’une des entraînements les plus courants et évitables – des incidents de sécurité », a déclaré Github dans son annonce, notant: « Comme nous développons le code plus rapidement que jamais imaginable, nous fallons aussi des secrets plus rapidement que jamais. »
Malgré des mesures telles que la «protection push», lancée en avril 2022 et activée par défaut sur les référentiels publics en février 2024, les secrets continuent de fuir en raison des développeurs hiérarchiques de la commodité lors de la gestion des secrets pendant les engagements et l’exposition accidentelle au référentiel via l’histoire du GIT.
Pour lutter contre ces fuites, GitHub déploie plusieurs nouvelles mesures et améliorations:
- Protection secrète autonome et sécurité du code: Disponibles en tant que produits séparés, ces outils ne nécessitent plus de licence de sécurité avancée GitHub complète, visant à être plus abordable pour les petites équipes.
- Évaluation secrète des risques gratuite à l’échelle de l’organisation: Vérifie tous les référentiels (public, privé, interne et archivé) pour les secrets exposés, disponibles pour toutes les organisations GitHub sans frais.
- Protection push avec commandes de contournement déléguées: Des analyses de protection push améliorées pour les secrets avant la poussée du code et permet aux organisations de définir qui peut contourner la protection, ajoutant ainsi le contrôle au niveau de la politique.
- Détection secrète alimentée par copilote: GitHub tire parti de l’IA via Copilot pour détecter les secrets non structurés comme les mots de passe, visant à améliorer la précision et à réduire les faux positifs.
- Amélioration de la détection via des partenariats de fournisseurs de cloud: GitHub collabore avec des fournisseurs tels que AWS, Google Cloud et OpenAI pour améliorer la précision des détecteurs secrets et accélérer les réponses aux fuites.
«À ce jour, nos produits de sécurité sont disponibles à l’achat en tant que produits autonomes pour les entreprises, permettant aux équipes de développement de faire évoluer rapidement la sécurité», a expliqué Github. «Auparavant, investir dans la numérisation secrète et la protection contre les poussées a obligé l’achat d’une plus grande suite d’outils de sécurité, ce qui le rendait trop cher pour de nombreuses organisations.»
Le tribunal rejette les réclamations d’un milliard de dollars contre Github Copilot
Au-delà des mises à niveau de Github, les utilisateurs sont invités à prendre des mesures proactives pour sauvegarder les fuites secrètes. Les recommandations incluent l’activation de la protection push au niveau du référentiel, de l’organisation ou de l’entreprise pour bloquer de manière préventive les secrets. GitHub suggère également d’éliminer les secrets codés en dur en utilisant des variables environnementales, des gestionnaires secrets ou des coffres.
La plate-forme conseille en outre l’utilisation d’outils intégrés aux pipelines CI / CD et aux plates-formes cloud pour la manipulation secrète programmatique, minimisant l’interaction humaine sujette aux erreurs et l’exposition potentielle.
Enfin, GitHub encourage les utilisateurs à examiner le guide des «meilleures pratiques» pour la gestion complète des secrets.