La protección push de GitHub, una característica de seguridad destinada a evitar que secretos como claves API o tokens se filtren accidentalmente en línea, está activada de forma predeterminada para todos los repositorios públicos.
«Esto significa que cuando se detecta un secreto compatible en cualquier envío a un repositorio público, tendrá la opción de eliminar el secreto de sus confirmaciones o, si considera que el secreto es seguro, evitar el bloqueo», dijo la subsidiaria de Microsoft.
Los secretos filtrados conllevan muchos riesgos
En 2022, los codificadores filtraron más de 10.000.000 de secretos en 1.027 millones de confirmaciones.
Desde principios de este año, GitHub ha detectado más de 1 millón de secretos filtrados en repositorios públicos, también compartió la compañía.
Como los secretos filtrados pueden (y de hecho conducen) a compromisos y filtraciones de datos, es crucial minimizar esto.
Acerca de la característica de seguridad
GitHub puso la protección push a disposición de los propietarios de todos los repositorios públicos el año pasado, pero ahora la activa de forma predeterminada.
La protección push escanea las confirmaciones de código antes de que sean enviadas y, si contienen un secreto, los desarrolladores reciben una alerta en su entorno de desarrollo integrado (IDE) o interfaz de línea de comandos (CLI).
Luego pueden decidir anular el bloqueo o eliminar el secreto y volver a enviar su confirmación.
“Aunque no lo recomendamos, también puedes desactivar completamente la protección push en tu configuración de seguridad de usuario. Sin embargo, dado que siempre conserva la opción de evitar el bloqueo, le recomendamos que deje habilitada la protección push y haga excepciones según sea necesario”, explicaron Eric Tooley y Courtney Claessens de GitHub.
La función detecta más de 200 tipos y patrones de tokens de más de 180 proveedores de servicios.
“Es posible que las versiones anteriores de ciertos tokens no sean compatibles con la protección push, ya que estos tokens pueden generar una mayor cantidad de falsos positivos que su versión más reciente. Es posible que la protección push tampoco se aplique a los tokens heredados. Para tokens como Azure Storage Keys, GitHub solo admite tokens creados recientemente, no tokens que coincidan con los patrones heredados”, señala la compañía.
Fuente y redacción: Zeljka Zorz / helpnetsecurity.com
