تكنولوجيا MSN

وجد Github تسريبات سرية 39 مترًا في عام 2024. إليك ما نفعله للمساعدة

وجد Github تسريبات سرية 39 مترًا في عام 2024. إليك ما نفعله للمساعدة

إذا كنت تعرف أين تبحث ، من السهل العثور على الأسرار المكشوفة. من المفترض أن تمنع الأسرار من الوصول غير المصرح به ، ولكن في الأيدي الخطأ ، يمكن أن تكون – وعادة ما تكون – في ثوانٍ.

لإعطائك فكرة عن نطاق المشكلة ، أكثر من 39 مليون أسرار تم تسريبها عبر جيثب في عام 2024 وحده. كل دقيقة Github يمنع عدة أسرار مع حماية الدفع. ومع ذلك ، لا تزال التسريبات السرية واحدة من أكثر الحوادث الأمنية شيوعًا والتي يمكن الوقاية منها. نظرًا لأننا نطور رمزًا بشكل أسرع مما كان يمكن تخيله من قبل ، فإننا نتسرب أسرع أسرع من أي وقت مضى.

لهذا السبب ، في Github ، نعمل على منع الانتهاكات الناجمة عن الرموز المميزة وبيانات الاعتماد وأسرار أخرى –ضمان الحماية ضد التعرضات السرية مدمجة ومتاحة لكل مطور.

اليوم ، نطلق التطور التالي لـ Github Advanced Security، التوافق مع مهمتنا المستمرة حافظ على أسرارك … السر.

  • الحماية السرية و أمن الكود، متاح الآن كمنتجات مستقلة
  • الأمن المتقدم ل فريق جيثب المنظمات
  • مسح سري مجاني على مستوى المنظمة لمساعدة الفرق على تحديد وتقليل التعرض.

إليك كيفية تسرب الأسرار ، وما نفعله لإيقافه ، وما يمكنك فعله لحماية الكود الخاص بك. لنقفز.

كيف تحدث التسريبات السرية؟

تعتمد معظم البرامج اليوم على الأسرار – credientials ، مفاتيح API ، الرموز – التي يتعامل المطورون مع عشرات المرات في اليوم. هذه الأسرار غالبا ما تتعرض بطريق الخطأ. أقل حد ما ، يأتي عدد كبير من الانتهاكات من مطورين ذوي النوايا الحسنة الذين يعرضون سرًا عن قصد. غالبًا ما يقلل المطورون من خطر التعرض الخاص ، ارتكاب هذه الأسرار أو مشاركتها أو تخزينها بطرق تشعر أنها مريحة في الوقت الحالي ، ولكنها تحدد المخاطر بمرور الوقت.

لسوء الحظ ، فإن هذه التعرضات السرية غير الضارة على ما يبدو هي خيوط صغيرة لسحبها للمهاجم يتطلع إلى كشف نظام كامل. الجهات الفاعلة السيئة ماهرة للغاية في استخدام موطئ قدم يوفرها أسرار “منخفضة المخاطر” للحركة الجانبية إلى الأصول ذات القيمة العليا. حتى بدون خطر التهديدات الداخلية ، فإن استمرار أي سر في تاريخ GIT (أو في أي مكان آخر) يجعلنا عرضة للأخطاء المستقبلية. بحث يوضح أن الأخطاء العرضية (مثل صنع مستودع للجمهور) كانت أعلى في عام 2024 من أي وقت مضى.

إذا كنت مهتمًا بمعرفة المزيد عن التسريبات السرية وكيفية حماية نفسك ، فراجع هذا الفيديو الرائع من زميلي كريس ردينغتون:

https://www.youtube.com/watch؟v=vmhdkt5jnn0

ماذا يفعل جيثب حيال ذلك؟

نحن نهتم بعمق بحماية مجتمع المطورين من خطر الأسرار المكشوفة. قبل بضع سنوات ، أطلقنا رسميا برنامج شراكة الصناعة، التي نمت الآن إلى مئات من المصدرين الرمزيين مثل AWS و Google Cloud Platform و Meta و Openai – ملتزمون تمامًا بحماية مجتمع المطورين من الأسرار التي تم تسريبها.

في العام الماضي ، خرجنا حماية الدفع افتراضيًا للمستودعات العامة ، التي منعت منذ ذلك الحين ملايين الأسرار لمجتمع المصدر المفتوح.

وأخيرًا ، اعتبارًا من اليوم ، نطرح تغييرات إضافية على توافر الميزات لدينا ، نتوافق مع هدفنا المستمر لمساعدة المنظمات من جميع الأحجام على حماية نفسها من خطر الأسرار المكشوفة: فحص جديد في الوقت المناسبمجانا للمنظمات ؛ خطة تسعير جديدة ، لجعل أدواتنا الأمنية المدفوعة أكثر بأسعار معقولة ؛ وإصدار Secret Protection و Code Security to Github Team Plans.

ما يمكنك فعله لحماية نفسك من الأسرار المكشوفة

تساعد GitHub Push Protection على منع التسريبات السرية قبل حدوثها.

أسهل طريقة لحماية نفسك من الأسرار التي تم تسريبها هي عدم وجود أي شيء في المقام الأول. تعد حماية الدفع ، حلنا المدمج ، أبسط طريقة لمنع الأسرار من التعرض العرضي. إنه يعزز نفس الكشفات التي أنشأناها من خلال برنامج الشراكة لدينا مع مقدمي الخدمات السحابية ، مما يضمن القبض على الأسرار بسرعة ودقة مع أدنى معدل من الإيجابيات الخاطئة الممكنة.

لقد أظهرت الدراسات أن حماية GitHub Secret هي أداة المسح السرية الوحيدة – المصدر المفتوح أو المصدر المفتوح – والتي يمكنها المطالبة بأكثر من واحد في معدل إيجابي حقيقي في جميع النتائج. تلقى Github درجة دقيقة قدرها 75 ٪ (مقارنة مع أفضل دقة 46 ٪). بالمقارنة مع بدائل مثل حلول المسح المفتوح المصدر ، فإنه ليس أن Github يجد عددًا أقل من الأسرار … إنها نجد أحداثًا حقيقية. وبهذه الطريقة ، يمكنك قضاء وقتك في القلق أقل بشأن الإيجابيات الخاطئة ، والمزيد حول ما يهم – شحن.

تعد أوراق الاعتماد منذ فترة طويلة من أكثر أنواع الأسرار شيوعًا والخطورة للتسرب ، لأنها غالبًا ما تستمر دون أن يلاحظها أحد منذ شهور-أو سنوات-وتمنح الجهات الفاعلة السيئة الوصول. لهذا السبب فإن إدارة الأسرار من خلال دورة حياتهم الكاملة أمر بالغ الأهمية.

ما وراء حماية الدفع ، يمكنك حماية نفسك من التسريبات من خلال المتابعة أفضل الممارسات الأمنية لضمان إدارة الأسرار بشكل آمن من الخلق إلى الإلغاء:

  • الخلق: اتبع مبدأ أقل امتياز وتأكد من إنشاء الأسرار بشكل آمن.
  • تناوب: خارج بيانات اعتماد المستخدم، يجب تدوير الأسرار بانتظام.
  • إبطال: تقييد الوصول عندما لم يعد هناك حاجة – أو عند المساس.

طوال دورة حياة السر ، يجب عليك القضاء على التفاعل البشري و أتمتة الإدارة السرية كلما كان ذلك ممكنا.

بالإضافة إلى ذلك ، يجب عليك تبني حل مراقبة مستمر للكشف عن التعرض ، حتى تتمكن من الرد بسرعة. مثل حماية الدفع ، فإن الحل المدمج لـ Github للمسح السري هو أبسط طريقة للفرز الأسرار التي تم تسريبها مسبقًا.

ابتداءً من اليوم ، يعد الاستثمار في أدوات GitHub المدمجة في التكلفة أكثر بأسعار معقولة وفي متناول العديد من الفرق مع إصدار Github Secret Protection (مجاني للمستودعات العامة) ، بالإضافة إلى فحص جديد في الوقت المناسب (مجاني لجميع مستودعات المؤسسة)، والتي يمكن تشغيلها بشكل دوري للتحقق من الأسرار المكشوفة.

تعرف على المزيد حول نشر وإدارة الحماية السرية على نطاق واسع:

https://www.youtube.com/watch؟v=Aaycmq5zpky

GitHub Secret Protection و Github Code Security

تقديم Github Secret Protection و Github Code Security

اعتبارا من اليوم ، منتجاتنا الأمنية متاح للشراء كما المنتجات المستقلة للمؤسسات، تمكين فرق التطوير لتوسيع نطاق الأمن بسرعة. في السابق ، يتطلب الاستثمار في المسح السري وحماية الدفع شراء مجموعة أكبر من أدوات الأمان ، مما جعل الاستثمار التام لا يمكن تحمله للعديد من المنظمات. هذا التغيير يضمن الأمن القابل للتطوير مع الحماية السرية وأمن الكود لم تعد بعيدة المنال للعديد من المنظمات.

Github Secret Protection هنا لمنظمات فريق Github للشراء

بالإضافة إلى ذلك ، اعتبارا من اليوم ، منتجات الأمان المستقلة لدينا هي أيضا متاح كإضافات إضافية لمنظمات فريق جيثب. في السابق ، لم تتمكن فرق التطوير الأصغر من شراء ميزات الأمان الخاصة بنا دون الترقية إلى GitHub Enterprise. هذا التغيير يضمن بقاء منتجاتنا الأمنية بأسعار معقولة ، يمكن الوصول إليها ، وسهلة النشر لمنظمات جميع الأحجام.

هل تعرضت أسرارك؟ جرب المعاينة العامة الجديدة لدينا

تقييم المخاطر السري متاح لمنظمات جيثب

إن فهم ما إذا كان لديك أسرار مكشوفة موجودة خطوة حرجة. ابتداءً من اليوم ، يمكنك إجراء تقييم سري للمخاطر لمؤسستك.

يعد تقييم المخاطر السرية عبارة عن مسح فحص في الوقت المحدد للاستفادة من محرك المسح الخاص بنا للمؤسسات ، ويغطي جميع المستودعات-الجمهورية ، الخاصة ، الداخلية ، وحتى المؤرشفة-ويمكن تشغيلها دون شراء. يوفر الفحص في الوقت المناسب رؤى واضحة حول تعرض أسرارك عبر مؤسستك ، إلى جانب خطوات قابلة للتنفيذ لتعزيز أمانك وحماية الكود الخاص بك. من أجل خفض الحواجز التي تتمثل في استخدام المنظمات والاستفادة من الميزة ، لا يتم تخزين أو مشاركة أسرار محددة.

يتم إطلاق المعاينة العامة اليوم للمنظمات عبر فريق Github وخطط Enterprise لمحاولة. لا يزال الأمر مبكرًا ، لذلك نود أن نسمع ملاحظاتك ، مثل ما إذا كانت الإرشادات الإضافية بشأن الخطوات التالية ستكون مفيدة ، أو ما إذا كان هذا شيء ستستفيد منه خارج خطط الفريق والمؤسسات.

إذا كان لديك ملاحظات أو أسئلة ، يرجى القيام بذلك انضم إلى المناقشة في مجتمع جيثب– نستمع.

تعلم المزيد عن جيثب الأمن المتقدم، بما في ذلك الحماية السرية وأمن الكود.

ملحوظات

كتبه

إرين هافنز

Erin Havens هي مدير منتج في Github ، تركز على منتجات الأمان. 100+ سفن عبر منتجات مثل الحماية السرية و reparabot (والعد).

Source link

mansoorkhan8185

اترك تعليقاً

لن يتم نشر عنوان بريدك الإلكتروني. الحقول الإلزامية مشار إليها بـ *