Ngày 11 tháng 5 năm 2023Ravie Lakshmanan
GitHub đã công bố tính khả dụng chung của một tính năng bảo mật mới được gọi là đẩy bảo vệnhằm mục đích ngăn chặn các nhà phát triển vô tình làm rò rỉ khóa và các bí mật khác trong mã của họ.
Nền tảng lưu trữ kho lưu trữ dựa trên đám mây thuộc sở hữu của Microsoft, đã bắt đầu thử nghiệm tính năng này một năm trước, cho biết họ cũng đang mở rộng bảo vệ đẩy tới tất cả các kho lưu trữ công cộng mà không phải trả thêm phí.
Chức năng này được thiết kế để hoạt động song song với tính năng quét bí mật hiện có, quét các kho lưu trữ để tìm các định dạng bí mật đã biết nhằm ngăn chặn việc sử dụng gian lận và tránh các hậu quả nghiêm trọng có thể xảy ra.
“Bảo vệ đẩy ngăn rò rỉ bí mật mà không ảnh hưởng đến trải nghiệm của nhà phát triển bằng cách quét các bí mật có khả năng nhận dạng cao trước khi chúng được thực hiện”, GitHub cho biết vào đầu tuần này.
“Khi một bí mật được phát hiện trong mã, các nhà phát triển sẽ được nhắc trực tiếp trong IDE hoặc giao diện dòng lệnh của họ với hướng dẫn khắc phục để đảm bảo rằng bí mật đó không bao giờ bị lộ.”
Mặc dù bảo vệ đẩy có thể được bỏ qua bằng cách cung cấp lý do (ví dụ: thử nghiệm, dương tính giả hoặc rủi ro có thể chấp nhận được), quản trị viên kho lưu trữ và tổ chức cũng như người quản lý bảo mật sẽ được thông báo về các sự kiện đó qua email.
Để bật tùy chọn này, người dùng có thể đi tới cài đặt > Chọn “Phân tích và bảo mật mã” > Bật “Quét bí mật” và “Bảo vệ đẩy”.
Công ty cho biết thêm, tính năng bảo vệ đẩy, kể từ khi ra mắt vào tháng 4 năm 2022 dưới dạng bản beta, ước tính đã ngăn chặn 17.000 vụ rò rỉ bí mật do vô tình, tiết kiệm hơn 95.000 giờ đáng lẽ phải dùng để thu hồi, xoay vòng và khắc phục các bí mật bị xâm phạm.
Sự phát triển diễn ra gần năm tháng sau khi GitHub cung cấp tính năng quét Secret miễn phí cho tất cả các kho lưu trữ công khai, cho phép người dùng được thông báo về các bí mật bị rò rỉ trong kho lưu trữ của họ.
