کمیته رکن چهارم – ابزار جدید گیتهاب با هدف محافظت از توسعهدهندگان دربرابر قرارگرفتن درمعرض نشتهای API و توکن ارائه شد.
گیتهاب ویژگی اسکن جدیدی برای محافظت از توسعهدهندگان دربرابر نشتهای مخفی و تصادفی معرفی کرده است. بهگزارش ZDNet، مخزن کد متعلق به مایکروسافت ۴ آوریل اعلام کرد که مجموعهی امنیتی پیشرفتهی گیتهاب اکنون با قابلیت جدید محافظت از Push برای جلوگیری از افشای اسراری که میتواند پروژههای مختلف سازمان را درمعرض خطر قرار دهد، ارتقا یافته است.
GitHub Advanced Security محصولی تجاری و دارای مجوز است که شامل اسکن کد و حافظت از زنجیرهی تأمین و هشدارهای Dependabot میشود. این ویژگی جدید بررسی اختیاری برای توسعهدهندگان است تا قبل از پذیرش git push حین کار خود از آن استفاده کنند. درحالحاضر، این اسکن فقط الگوهایی را بررسی میکند که کاملاً شناساییشدنی باشند؛ ازجمله نشتهای احتمالی براساس تلاشهای مشترک گیتهاب و سازمانهای شریک مثل صادرکنندگان توکن.
اگر محافظت از Push فعال باشد، قابلیت اسکن الگوهای نشت با اطمینان بالا را بررسی میکند. اگر الگویی برجسته شود، Push مسدود خواهد شد. بهگفتهی گیتهاب، نرخ مثبت کاذب پایینی در طول آزمایش وجود داشته است. گیتهاب توضیح میدهد:
اگر مشکلی شناسایی شود، توسعهدهندگان خواهند توانست قبل از Push مجدد، آن مشکل را در کد خود بازبینی و برطرف کنند. در مواقع نادری که اصلاح فوری منطقی نباشد، توسعهدهندگان میتوانند با رفع این مشکل بهعنوان نکتهی مثبت کاذب آزمایشی یا نمونهای واقعی همچنان در مسیر کاری خود حرکت کنند.
اگر نمونهها بهعنوان مشکلاتی انتخاب شوند که توسعهدهنده تصمیم بگیرد آنها را بعد از Push رفع کند، موارد هشدار امنیتی باز بهطور خودکار ایجاد خواهند شد. توسعهدهندگان میتوانند این ویژگی را در رابط کاربری مجموعه یا ازطریق API فعال کنند. گیتهاب در بخش دیگری از توضیحات خود دربارهی این قابلیت گفت:
با قابلیت اسکن جدید ما، میتوان پیش از ثبت مشکلات، بسیاری از آنها را شناسایی کرد و بدینترتیب باهم خواهیم توانست امنیت را بهجای واکنشپذیری بهسمت فعالبودن تغییر دهیم و از افشای مشکلات بهطور جدی جلوگیری کنیم.
منبع : زومیت