En respuesta a la alarmante tendencia de que claves API, tokens y otros datos confidenciales queden expuestos inadvertidamente, GitHub ha tomado pasos adicionales para fortalecer su plataforma contra posibles infracciones.
En los primeros dos meses de 2024, GitHub ha descubierto un millón de secretos filtrados en repositorios públicos, con un promedio de más de una docena de incidentes por minuto. Cifras tan alarmantes subrayan la necesidad apremiante de contar con salvaguardias sólidas para proteger a los usuarios y sus datos.
Desde agosto del año pasado, GitHub ha ofrecido a los usuarios la opción de optar por la protección push de escaneo secreto, una característica diseñada para interceptar y bloquear automáticamente las confirmaciones tras la detección de información confidencial. Sobre la base de esta iniciativa, GitHub ahora ha hecho que la protección de envío de escaneo secreto sea obligatoria para todos los envíos a repositorios públicos.
El reciente lanzamiento de la protección push marca un paso significativo hacia reforzar la postura de seguridad de la amplia base de usuarios de GitHub. Bajo este nuevo marco, a los usuarios se les presentará la opción de eliminar el secreto detectado de sus confirmaciones o, si lo consideran seguro, evitar el bloqueo. Si bien la transición a este protocolo de seguridad mejorado puede tardar una semana o dos en aplicarse universalmente, los usuarios pueden verificar proactivamente el estado y optar por participar anticipadamente a través de la configuración de análisis y seguridad del código.
Al reconocer las posibles ramificaciones de los secretos filtrados, GitHub subraya la importancia de salvaguardar no sólo los repositorios privados sino también los públicos, que son parte integral de la comunidad de código abierto. Con más del 95 por ciento de los envíos a repositorios privados ya siendo escaneados por los clientes de GitHub Advanced Security, extender la protección de envío a repositorios públicos refleja un compromiso de mantener la integridad y seguridad de todo el ecosistema de GitHub.
A pesar de la implementación de protección push, GitHub afirma la autonomía de los usuarios a la hora de gestionar sus preferencias de seguridad. Si bien la configuración predeterminada es habilitar la protección push, los usuarios conservan la flexibilidad de evitar el bloqueo o deshabilitar la protección push por completo a través de su configuración de seguridad de usuario. Sin embargo, GitHub desaconseja encarecidamente deshabilitar la protección push por completo, abogando en cambio por un enfoque juicioso en el que se hagan excepciones caso por caso.
Para las organizaciones que aprovechan el plan GitHub Enterprise, hay disponibles funciones de seguridad adicionales, incluida GitHub Advanced Security, para fortalecer los repositorios privados contra posibles infracciones. Esta solución integral de plataforma DevSecOps abarca escaneo de secretos, escaneo de códigos, sugerencias de códigos de reparación automática impulsadas por IA y otras funciones de seguridad de aplicaciones estáticas (SAST).
La tecnología de escaneo de secretos de GitHub abarca más de 200 tipos y patrones de tokens de más de 180 proveedores de servicios; con una precisión líder en la industria y minimizando los falsos positivos. Al aprovechar los esfuerzos colectivos de la comunidad, GitHub tiene como objetivo evitar la exposición inadvertida de información confidencial en repositorios públicos.
A principios de esta semana, una investigación de Apiiro encontró que más de 100.000 repositorios en GitHub están infectados con código malicioso. La plataforma ha estado lidiando con un ataque continuo de “confusión de repositorios”, en el que miles de repositorios inundados de malware ofuscado se han dirigido a la plataforma.
Estos ataques son parte de una campaña de distribución de malware más amplia, que recuerda a las tácticas revelado por Phylum el año pasado. La campaña se basa en paquetes Python engañosos alojados en repositorios clonados para difundir una carga útil maliciosa conocida como BlackCap Grabber.
La implementación de protección push automática de GitHub sirve como un mecanismo de defensa crítico contra actividades tan nefastas, brindando a los usuarios una mayor visibilidad y control sobre la seguridad de sus repositorios.
(Foto por Harina Kristina en desempaquetar)
Ver también: Paquetes de Python detectados mediante descarga de DLL para eludir la seguridad
¿Quiere obtener más información sobre la ciberseguridad y la nube de la mano de los líderes de la industria? Verificar Exposición de seguridad cibernética y nube que tendrá lugar en Amsterdam, California y Londres. El evento integral comparte ubicación con otros eventos importantes, incluidos bloquex, Semana de la Transformación Digital, Exposición de tecnología de IoT y Exposición de IA y Big Data.
Además, la próxima Conferencia sobre transformación de la nube es un evento virtual gratuito para que los líderes empresariales y tecnológicos exploren el panorama cambiante de la transformación de la nube. Reserva tu billete virtual gratis para explorar los aspectos prácticos y las oportunidades que rodean la adopción de la nube.
Explore otros próximos eventos y seminarios web de tecnología empresarial impulsados por TechForge aquí.