هر توسعهدهندهای میداند که این ایده بدی است که اعتبارنامههای امنیتی را به کد منبع تبدیل کند. با این حال، این اتفاق میافتد، و وقتی این اتفاق میافتد، عواقب آن میتواند وحشتناک باشد. تا به حال، GitHub سرویس اسکن مخفی خود را تنها به کاربران شرکتی که برای امنیت پیشرفته GitHub پرداخت میکردند، ارائه میکرد، اما از امروز، این شرکت متعلق به مایکروسافت، سرویس اسکن مخفی خود را به صورت رایگان در اختیار تمام مخازن عمومی GitHub قرار میدهد.
تنها در سال 2022، این شرکت در برنامه شریک اسکن مخفی خود بیش از 1.7 میلیون اسرار احتمالی را که در مخازن عمومی افشا شده بود، به شرکای خود اطلاع داد. این سرویس مخازن را برای بیش از 200 قالب توکن شناخته شده اسکن می کند و سپس شرکا را در مورد نشت احتمالی هشدار می دهد – و همچنین می توانید الگوهای بیان منظم خود را تعریف کنید.
اعتبار تصویر: GitHub
دیوید راس، مهندس امنیت کارکنان Postmates گفت: “با اسکن مخفیانه، ما چیزهای مهم زیادی پیدا کردیم که باید به آنها نگاه کنیم.” “در سمت AppSec، این اغلب بهترین راه برای ما برای دیدن مشکلات در کد است.”
اکنون، اگر کد خود را در GitHub میزبانی کنید، شرکت به طور خودکار شما را مستقیماً در مورد اسرار فاش شده در کد منبع شما مطلع می کند. همچنین به این معنی است که وقتی هیچ همتای برای اطلاع رسانی وجود ندارد، هشدارهای مخفی دریافت خواهید کرد (مثلاً به این دلیل که خودتان HashiCorp Vault خود را میزبانی می کنید).
برای شروع استفاده از سرویس، باید این ویژگی را در تنظیمات امنیتی GitHub فعال کنید. با این حال، عرضه این سرویس تدریجی خواهد بود و تا پایان ژانویه 2023 برای همه کاربران در دسترس نخواهد بود.
ابزار خود GitHub البته تنها سرویسی نیست که اسرار فاش شده را اسکن می کند. ابزارهای منبع باز مانند gitLeaks (که می تواند با GitHub Actions ادغام شود) و مجموعه ای از شرکت های امنیتی مانند CheckPoint’s Nightfall و Spectral نیز وجود دارد، اگرچه خدمات آنها فراتر از اسکن مخفیانه است و عموماً سازمانی هستند.