GitHub включил по умолчанию систему защиты от утечек токенов к API

03.03.2024 13:13

GitHub объявил о включении по умолчанию для всех публичных репозиториев механизма защиты от попадания в репозитории конфиденциальных данных, по недосмотру оставленных разработчиками в коде. Например, случается, что в репозиторий попадают файлы конфигурации с паролями к СУБД, токены или ключи доступа к API. Ранее сканирование осуществлялось в пассивном режиме и позволяло выявлять уже произошедшие утечки, попавшие в репозиторий. Теперь проверка осуществляется автоматически на стадии публикации (git push) и приводит к выводу предупреждения при попытке добавления коммитов, в которых выявлено наличие конфиденциальных данных.

Реализовано более 250 шаблонов для выявления различных видов ключей, токенов, сертификатов и учётных данных. Для исключения ложных срабатываний проверяются только гарантированно определяемые типы токенов, охватывающие более 180 различных сервисов, включая Amazon Web Services, Azure, Crates.io, DigitalOcean, Google Cloud, NPM, PyPI, RubyGems и Yandex.Cloud. После выявления потенциальной утечки разработчику предлагается провести рецензирование проблемного кода, устранить утечку и повторить коммит или пометить блокировку ложной.

исправить +7 +/–

Лицензия: CC BY 3.0

Короткая ссылка: https://opennet.ru/60719-github

Ключевые слова: github

При перепечатке указание ссылки на opennet.ru обязательно

Обсуждение (26)

1.1, чатжпт (?), 13:23, 03/03/2024 [ответить] [﹢﹢﹢] [ · · · ]	+4 +/–
жаль, где же теперь токены грабить

2.2, разработчик (?), 13:26, 03/03/2024 [^] [^^] [^^^] [ответить]	+8 +/–
да помечу как ложный, чо ты паришься - у меня из-за их дурацкой системы пуш не прошел, какого хрена!

2.13, 12yoexpert (ok), 15:48, 03/03/2024 [^] [^^] [^^^] [ответить]	–6 +/–
при чём тут grub?

2.21, Аноним (21), 18:08, 03/03/2024 [^] [^^] [^^^] [ответить]	+1 +/–
В base64 заверни.

3.24, Golangdev (?), 02:20, 04/03/2024 [^] [^^] [^^^] [ответить]	+/–
плюсую сам так креды стягиваю

1.3, КО (?), 13:37, 03/03/2024 [ответить] [﹢﹢﹢] [ · · · ]	+/–
"гарантированно определяемые" Лол, спросил любого чат-бота, который натурально собирает все что может от этих "святых" компаний и вуаля!

1.4, Аноним (4), 13:49, 03/03/2024 [ответить] [﹢﹢﹢] [ · · · ]	+/–
Голову включать надо. А кто не включил и токен утёк, то обратно голову включать и завести привычку _не_ выключать. И всё сразу становится просто.

2.5, Аноним (4), 13:50, 03/03/2024 [^] [^^] [^^^] [ответить]	–1 +/–
P.S. Но вообще выглядит как очередное: папа пришёл и запретил делать там, где не папино дело с инициативами влезать. Типовой Мелкософт.

1.6, 12yoexpert (ok), 14:00, 03/03/2024 [ответить] [﹢﹢﹢] [ · · · ]	–1 +/–
что вообще токены могут делать в директории с проектом?

2.7, Аноним (7), 14:06, 03/03/2024 [^] [^^] [^^^] [ответить]	–2 +/–
Опеннетчики по другому неспособны

2.8, чатжпт (?), 14:10, 03/03/2024 [^] [^^] [^^^] [ответить]	+1 +/–
Ну как, пишешь проект, секреты в каком-нибудь .env файле для безопасности (ты же умный и не хранишь пароли в коде), делаешь git add . и push. Готово.

3.11, 12yoexpert (ok), 14:46, 03/03/2024 Скрыто ботом-модератором [к модератору]	–5 +/–

4.14, Аноним (14), 15:57, 03/03/2024 Скрыто ботом-модератором [к модератору]	+/–

4.22, bergentroll (ok), 21:13, 03/03/2024 Скрыто ботом-модератором [к модератору]	+1 +/–

5.23, 12yoexpert (ok), 00:57, 04/03/2024 Скрыто ботом-модератором [к модератору]	–3 +/–

....ответы скрыты (6)

1.9, Аноним (9), 14:16, 03/03/2024 [ответить] [﹢﹢﹢] [ · · · ]	+1 +/–
Сегодня токены — а завтра LLMами будут определять нарушение DMCA (всяких альтернативные реализации, неофициальные либы работы с сервисами, читатели проприетарных форматов файлов), патентов, да и просто запрещённые вещи, вроде AUP.

2.10, Аноним (10), 14:19, 03/03/2024 [^] [^^] [^^^] [ответить]	–1 +/–
Проверять на нвхожлении в базе данных закопирайченных произведений — это кстати требование законов, принятых европарламентом. Кто вступит в евросоюз — тот знает, на что подписывается.

2.15, Аноним (14), 15:58, 03/03/2024 [^] [^^] [^^^] [ответить]	+2 +/–
Всё ради детей.

3.17, Аноним (17), 16:49, 03/03/2024 [^] [^^] [^^^] [ответить]	+/–
Не помирать же с голоду. Что будет, если отлучить от жизненно необходимой пищи, продемонстрировали Амин и Бокасса. Конечно, выборка небольшая, ведь подобные исследования крайне негуманны, а потенциальные подопытные старательно смешиваются с толпой.

3.19, Аноним (-), 17:00, 03/03/2024 [^] [^^] [^^^] [ответить]	+/–
Конечно, автор выше упоминает "да и просто запрещённые вещи, вроде AUP" Если он про AUP (Agile Unified Process), то да к агилю детей подпускать вообще негуманно! Вдруг они проникнутся вредными идеями и вырастут каким-то аджайл-коучем!

4.28, Аноним (28), 14:57, 04/03/2024 [^] [^^] [^^^] [ответить]	+/–
Формулировки Аджайл вообще очень размыты. Вроде конкретно, а вроде и нет. Причём размыты настолько что большинство процессов можно выдать за Аджайл.

4.29, Аноним (29), 17:37, 04/03/2024 [^] [^^] [^^^] [ответить]	+/–
acceptable use policy же.

2.18, Аноним (-), 16:55, 03/03/2024 [^] [^^] [^^^] [ответить]	–2 +/–
Как будто нужны именно LLM для проверки DMCA. Думаю достаточно списка ключевых слов типа "nintendo", "sony", "emulator")) А потом пусть человек глазами смотрит. Ну или отправлять письмо соответствующим юристам. И вообще ты так пишешь, как будто наказывать нарушителей DMCA это что-то плохое. Люди нарушили лицензию и должны быть покараны, не важно это GPL, MIT или проприетарная.

1.12, Аноним (12), 15:01, 03/03/2024 Скрыто ботом-модератором [﹢﹢﹢] [ · · · ] [к модератору]	–2 +/–

1.20, Аноним (20), 17:15, 03/03/2024 [ответить] [﹢﹢﹢] [ · · · ]	+/–
Интересно, а если это уже прокешили? Что выложено в интернете, не так легко стереть.

1.27, Аноним (27), 11:39, 04/03/2024 [ответить] [﹢﹢﹢] [ · · · ]	+/–
А когда открытые ключи скроют?

игнорирование участников | лог модерирования

Добавить комментарий

Текст: