Desde 2014, o GitHub tem sido alvo de ataques por parte de criminosos que procuram vazar segredos da organização. Alguns desses ataques foram bem-sucedidos, resultando na divulgação de credenciais de acesso e tokens de autenticação.
O GitHub está implementando uma nova ferramenta para ajudar a evitar que esses segredos sejam expostos. A ferramenta, chamada de Secrets Detection, analisa o conteúdo de um repositório em busca de padrões de sequências de caracteres que possam representar segredos.
Secrets Detection é baseado em três conjuntos de regulamentações:
1. Lista de palavras-chave comuns em arquivos que contêm segredos, como “token”, “credencial”, “senha” e “chave”.
2. Lista de sinais de conteúdo sensível, como sequências de caracteres que representam chaves de API, endereços de e-mail e números de cartão de crédito.
3. Heurística de análise de conteúdo para detectar padrões de sequências de caracteres que podem representar segredos.
Com a ferramenta, o GitHub espera que os desenvolvedores sejam mais cuidadosos ao trabalharem com segredos em seus repositórios. A empresa também aconselha os desenvolvedores a utilizarem variáveis de ambiente ou serviços de configuração, como o AWS Secrets Manager, para gerenciar seus segredos de forma segura.
IA está comprimindo a janela entre divulgação e exploração a ponto de ficar negativa. A…
Operação NoVoice espalhou-se por mais de 50 apps do Google Play e explorou falhas antigas…
Grupo Inc reivindica ataque contra a prefeitura de Meriden, Connecticut. A cidade desligou serviços e…
A Alemanha expôs o líder ligado a GandCrab/REvil e reforçou o alerta sobre rebrandings no…
BlueHammer é um zero‑day LPE que explora o Windows Defender e eleva um usuário comum…
Drift Protocol suspendeu depósitos e saques após ataque na Solana. Estimativas apontam perdas entre US$…