Microsoft’un satın aldığı firmalardan biri olan Github, kullanıcıların upload ettiği projelerin kodlarını gizlice taradığı ortaya çıktı. Peki detayları neler? Gelin, beraber bakalım.
Çoğu Projedeki Sırlar Tespit Edildi
Bir Git Push’un tamamlanmasına izin verilmeden önce bu tür sırlar için depo içeriğini tarayarak, kullanıcıların erişim belirteçleri gibi gizli nesnelerin yanlışlıkla sızmasını önlemeye yardımcı olmayı amaçlıyor. Gizli tarama özelliği, GitHub.com’daki tüm genel depolar için etkinleştirilen ve GitHub Enterprise kullanıcıları için bir seçenek olan GitHub Advanced Security’nin zaten bir özelliğidir.
Bu etkinleştirildiği zaman, geliştiriciler tarafından yanlışlıkla dahil edilmiş olabilecek sırlar (parolalar, şifreleme anahtarları ve yetkilendirme belirteçleri) için havuzları tarar. Azure veya Adobe gibi çeşitli hizmet sağlayıcı ortakları tarafından yayınlananları da algılayabilir. Şimdi GitHub, gizli taramanın yeni anında koruma özelliğinin, gizli taramayı proaktif olarak geliştirici iş akışının kendisine yerleştirdiğini söyledi. Ancak geliştirici üretkenliğini çok fazla kesintiye uğratmaktan kaçınmak için bu anında iletme koruması yalnızca doğru bir şekilde algılanabilen belirteç türlerini destekler.
Peki Niye Böyle Yaptılar?
Bu amaçla GitHub, geçen yıl kendi sırlarının biçimini değiştirdi ve daha güvenilir bir şekilde tanımlanabilecek kalıpları uygulamaya zorlamak için bu hizmet sağlayıcı ortaklarıyla birlikte çalışıyor. Firma, yeni itme koruması yeteneğinin, bu tür yüksek güvenirlikli 69 model desteğiyle başladığını söyledi.
Bu koruma etkinleştirildiğinde GitHub, geliştiriciler kodu gönderirken yüksek güvenirli sırları kontrol edecek ve tarama bir sırrı ortaya çıkarıyor gibi görünüyorsa, göndermeyi engelleyecektir.
Geliştiriciler, tekrar göndermeden önce sonuçları gözden geçirebilir ve kodlarından sırları kaldırabilir veya sırrı yanlış pozitif, test durumu veya daha sonra düzeltilecek gerçek bir örnek olarak işaretlemeyi seçebilir.
