GitHub telah mengumumkan pada hari Senin bahwa mereka memperluas kemampuan Secret Scanning platform hosting kode untuk pelanggan GitHub Advanced Security yang memblokir kebocoran secret secara otomatis.
Secret Scanning adalah opsi keamanan lanjutan yang dapat diaktifkan oleh organisasi yang menggunakan GitHub Enterprise Cloud dengan lisensi Keamanan Lanjutan GitHub untuk pemindaian repositori tambahan.
Ini bekerja dengan mencocokkan pola yang ditentukan oleh organisasi atau disediakan oleh mitra dan penyedia layanan. Setiap kecocokan dilaporkan sebagai peringatan keamanan di tab Keamanan repo atau ke mitra jika cocok dengan pola mitra.
Secret Scanning adalah opsi keamanan lanjutan yang dapat diaktifkan oleh organisasi yang menggunakan GitHub Enterprise Cloud dengan lisensi Keamanan Lanjutan GitHub untuk pemindaian repositori tambahan.
Ini bekerja dengan mencocokkan pola yang ditentukan oleh organisasi atau disediakan oleh mitra dan penyedia layanan. Setiap kecocokan dilaporkan sebagai peringatan keamanan di tab Keamanan repo atau ke mitra jika cocok dengan pola mitra.
Secara otomatis memblokir paparan secret yang tidak disengaja
Fitur baru, yang dikenal sebagai Push Protection, dirancang untuk mencegah paparan kredensial yang tidak disengaja sebelum memasukkan kode ke repositori jarak jauh.
Kemampuan baru ini menyematkan Secret Scanning dalam alur kerja developer, dan bekerja dengan 69 jenis token (kunci API, token otentikasi, token akses, sertifikat manajemen, kredensial, kunci pribadi, kunci secret, dan banyak lagi) yang dapat dideteksi dengan "False Positif" rendah. "tingkat deteksi.
"Dengan Push Protection, GitHub akan memeriksa high-confidence secret sebagai developers push code dan memblokir push jika secret diidentifikasi," kata GitHub.
"Untuk memungkinkan hal ini tanpa mengganggu produktivitas developer, push protection hanya mendukung jenis token yang dapat dideteksi secara akurat."
Jika GitHub Enterprise Cloud mengidentifikasi secret sebelum pushing kode, git push diblokir untuk memungkinkan developer meninjau dan menghapus secret dari kode yang mereka coba push ke repo jarak jauh.
Developer juga dapat menandai peringatan keamanan ini sebagai False Positif, menguji kasus, atau menandainya untuk diperbaiki nanti.
Kemampuan baru ini menyematkan Secret Scanning dalam alur kerja developer, dan bekerja dengan 69 jenis token (kunci API, token otentikasi, token akses, sertifikat manajemen, kredensial, kunci pribadi, kunci secret, dan banyak lagi) yang dapat dideteksi dengan "False Positif" rendah. "tingkat deteksi.
"Dengan Push Protection, GitHub akan memeriksa high-confidence secret sebagai developers push code dan memblokir push jika secret diidentifikasi," kata GitHub.
"Untuk memungkinkan hal ini tanpa mengganggu produktivitas developer, push protection hanya mendukung jenis token yang dapat dideteksi secara akurat."
Jika GitHub Enterprise Cloud mengidentifikasi secret sebelum pushing kode, git push diblokir untuk memungkinkan developer meninjau dan menghapus secret dari kode yang mereka coba push ke repo jarak jauh.
Developer juga dapat menandai peringatan keamanan ini sebagai False Positif, menguji kasus, atau menandainya untuk diperbaiki nanti.
Cara mengaktifkan Secret Scanning Push Protection
Organisasi dengan GitHub Advanced Security dapat mengaktifkan fitur Secret Scanning Push Protection di tingkat repositori dan organisasi melalui API atau hanya dengan satu klik dari antarmuka pengguna.
Prosedur terperinci untuk mengaktifkan Push Protection untuk organisasi mengharuskan Anda untuk:
- Di GitHub.com, navigasikan ke halaman utama organisasi.
- Di bawah nama organisasi Anda, klik Settings.
- Di bagian "Security" pada Sidebar, klik Code security and analysis.
- Di bawah "Code security and analysis", temukan "GitHub Advanced Security".
- Di bawah "Secret Scanning", di bawah "Push Protection", klik Enable All.
- opsional, klik "Automatically enable for private repositories added to secret scanning" Anda juga dapat mengaktifkannya untuk repositori tunggal dengan mengaktifkannya dari dialog Settings > Security and analysis > GitHub Advanced Security dialogAnda dapat menemukan informasi lebih lanjut tentang kemampuan secret scanning dari sini dan detail tambahan tentang cara menggunakan push protection dari baris perintah atau mengizinkan beberapa secret di-push dari sini.
"Hingga saat ini, GitHub telah mendeteksi lebih dari 700.000 secret di ribuan repositori pribadi menggunakan secret scanning untuk GitHub Advanced Security; GitHub juga memindai pola mitra kami di semua repositori publik (gratis)," tambah GitHub.
"Hari ini, kami menambahkan opsi bagi pelanggan GitHub Advanced Security untuk mencegah kebocoran terjadi dengan memindai secret sebelum git push diterima."
Oleh karena itu, mengaktifkan secret scanning otomatis akan membawa organisasi selangkah lebih dekat untuk melindungi diri mereka dari kebocoran yang tidak disengaja dan meningkatkan supply-chain security.
Prosedur terperinci untuk mengaktifkan Push Protection untuk organisasi mengharuskan Anda untuk:
- Di GitHub.com, navigasikan ke halaman utama organisasi.
- Di bawah nama organisasi Anda, klik Settings.
- Di bagian "Security" pada Sidebar, klik Code security and analysis.
- Di bawah "Code security and analysis", temukan "GitHub Advanced Security".
- Di bawah "Secret Scanning", di bawah "Push Protection", klik Enable All.
- opsional, klik "Automatically enable for private repositories added to secret scanning" Anda juga dapat mengaktifkannya untuk repositori tunggal dengan mengaktifkannya dari dialog Settings > Security and analysis > GitHub Advanced Security dialogAnda dapat menemukan informasi lebih lanjut tentang kemampuan secret scanning dari sini dan detail tambahan tentang cara menggunakan push protection dari baris perintah atau mengizinkan beberapa secret di-push dari sini.
"Hingga saat ini, GitHub telah mendeteksi lebih dari 700.000 secret di ribuan repositori pribadi menggunakan secret scanning untuk GitHub Advanced Security; GitHub juga memindai pola mitra kami di semua repositori publik (gratis)," tambah GitHub.
"Hari ini, kami menambahkan opsi bagi pelanggan GitHub Advanced Security untuk mencegah kebocoran terjadi dengan memindai secret sebelum git push diterima."
Oleh karena itu, mengaktifkan secret scanning otomatis akan membawa organisasi selangkah lebih dekat untuk melindungi diri mereka dari kebocoran yang tidak disengaja dan meningkatkan supply-chain security.



Post a Comment
Post a Comment