Desde 2014, o GitHub tem sido alvo de ataques por parte de criminosos que procuram vazar segredos da organização. Alguns desses ataques foram bem-sucedidos, resultando na divulgação de credenciais de acesso e tokens de autenticação.
O GitHub está implementando uma nova ferramenta para ajudar a evitar que esses segredos sejam expostos. A ferramenta, chamada de Secrets Detection, analisa o conteúdo de um repositório em busca de padrões de sequências de caracteres que possam representar segredos.
Secrets Detection é baseado em três conjuntos de regulamentações:
1. Lista de palavras-chave comuns em arquivos que contêm segredos, como “token”, “credencial”, “senha” e “chave”.
2. Lista de sinais de conteúdo sensível, como sequências de caracteres que representam chaves de API, endereços de e-mail e números de cartão de crédito.
3. Heurística de análise de conteúdo para detectar padrões de sequências de caracteres que podem representar segredos.
Com a ferramenta, o GitHub espera que os desenvolvedores sejam mais cuidadosos ao trabalharem com segredos em seus repositórios. A empresa também aconselha os desenvolvedores a utilizarem variáveis de ambiente ou serviços de configuração, como o AWS Secrets Manager, para gerenciar seus segredos de forma segura.
Pesquisadores da Huntress identificaram uma campanha massiva de phishing que usa infraestrutura da Railway e…
A Mazda informou que um acesso externo não autorizado a um sistema ligado à gestão…
A CVE-2026-32746, com CVSS 9.8, afeta o telnetd do GNU InetUtils até a versão 2.7…
A campanha GlassWorm voltou com escala muito maior e já atingiu 433 componentes em GitHub,…
Como o golpe funcionava- O atacante publicou um projeto “parecido com legítimo” no GitHub, usando…
Falha crítica no better-auth permite criar API keys sem autenticação para usuários arbitrários, com risco…