Desde 2014, o GitHub tem sido alvo de ataques por parte de criminosos que procuram vazar segredos da organização. Alguns desses ataques foram bem-sucedidos, resultando na divulgação de credenciais de acesso e tokens de autenticação.
O GitHub está implementando uma nova ferramenta para ajudar a evitar que esses segredos sejam expostos. A ferramenta, chamada de Secrets Detection, analisa o conteúdo de um repositório em busca de padrões de sequências de caracteres que possam representar segredos.
Secrets Detection é baseado em três conjuntos de regulamentações:
1. Lista de palavras-chave comuns em arquivos que contêm segredos, como “token”, “credencial”, “senha” e “chave”.
2. Lista de sinais de conteúdo sensível, como sequências de caracteres que representam chaves de API, endereços de e-mail e números de cartão de crédito.
3. Heurística de análise de conteúdo para detectar padrões de sequências de caracteres que podem representar segredos.
Com a ferramenta, o GitHub espera que os desenvolvedores sejam mais cuidadosos ao trabalharem com segredos em seus repositórios. A empresa também aconselha os desenvolvedores a utilizarem variáveis de ambiente ou serviços de configuração, como o AWS Secrets Manager, para gerenciar seus segredos de forma segura.
Falha permite que invasores manipulem o agente de um usuário por meio de um problema…
Um exploit de dia zero, dirigido aos firewalls FortiGate da Fortinet, foi descoberto à venda…
A família SHELBY mostra um exemplo preocupante de malware moderno com design modular, sofisticado e…
Hackers estão explorando o diretório mu-plugins do WordPress para injetar códigos maliciosos que não aparecem…
O Google implementou uma nova funcionalidade de "Detecção de Golpes" com inteligência artificial no aplicativo…
O grupo APT28, ligado à Rússia, está utilizando técnicas avançadas de ofuscação em seus ataques…