Desde 2014, o GitHub tem sido alvo de ataques por parte de criminosos que procuram vazar segredos da organização. Alguns desses ataques foram bem-sucedidos, resultando na divulgação de credenciais de acesso e tokens de autenticação.
O GitHub está implementando uma nova ferramenta para ajudar a evitar que esses segredos sejam expostos. A ferramenta, chamada de Secrets Detection, analisa o conteúdo de um repositório em busca de padrões de sequências de caracteres que possam representar segredos.
Secrets Detection é baseado em três conjuntos de regulamentações:
1. Lista de palavras-chave comuns em arquivos que contêm segredos, como “token”, “credencial”, “senha” e “chave”.
2. Lista de sinais de conteúdo sensível, como sequências de caracteres que representam chaves de API, endereços de e-mail e números de cartão de crédito.
3. Heurística de análise de conteúdo para detectar padrões de sequências de caracteres que podem representar segredos.
Com a ferramenta, o GitHub espera que os desenvolvedores sejam mais cuidadosos ao trabalharem com segredos em seus repositórios. A empresa também aconselha os desenvolvedores a utilizarem variáveis de ambiente ou serviços de configuração, como o AWS Secrets Manager, para gerenciar seus segredos de forma segura.
Um novo e inteligente golpe do ClickFix está usando um instalador falso do AnyDesk e…
Pesquisadores descobriram que agentes de ameaças exploram o Grok, IA integrada ao X (antigo Twitter),…
As explorações permitem backdooring persistente quando os alvos abrem arquivos armadilhados.
Uma cidade na Carolina do Norte e um escritório de advogados distritais cobrindo quatro condados…
O surgimento da Nytheon AI marca uma escalada significativa no cenário das plataformas (LLM) de…
Um pesquisador de segurança revelou uma vulnerabilidade crítica de injeção de SOQL no controlador interno…