Poucos meses depois de ter sido lançado o recurso, o GitHub anunciou novas funcionalidades do push protection. Confira os detalhes delas.
No início de 2023, o GitHub, maior plataforma de software do mundo, lançou oficialmente o recurso de push protection de forma gratuita para repositórios públicos.
Atualmente, mais de um terço de todos os repositórios públicos da plataforma já contam com o push protection de escaneamento de credenciais, enviando alertas ao fazer commit de um código que contém credenciais.
GitHub anunciou novas funcionalidades do push protection
De acordo com Zain Malik, Gerente Sênior de Marketing de Produtos do GitHub, e Courtney Claessens, Gerente Sênior de Produtos do GitHub, ao corrigir possíveis vazamentos antes que eles ocorram, é possível reduzir o risco de um incidente de segurança e economizar inúmeras horas de tempo de correção e perda de produtividade.
Anteriormente, a ativação do recurso push protection só era possível no nível do repositório, deixando as pessoas desenvolvedoras dependentes de quem tinha permissão de administrador para atualizar as configurações.
Além disso, as organizações também não conseguiam quantificar o impacto total do push protection em um nível macro.
Push protection – usuários individuais
Ao ser ativado nas configurações individuais, o recurso permite assumir o controle da segurança do código.
Por isso, não será mais necessário se preocupar se o administrador do repositório tem push protection habilitado ou não, já que cada linha de código que a pessoa desenvolvedora fizer commit estará protegida e contará com a ferramenta ativada.
O recurso está começando como algo opcional durante a versão beta, mas o GitHub afirma que, em breve, será ativado por padrão para todas as pessoas do GitHub Free. As pessoas terão a opção de cancelar, se preferirem.
Métricas de push protection
Além de capacitar as pessoas desenvolvedoras, o GitHub também está apresentando métricas de push protection para organizações.
“Esse recurso permite que as organizações meçam o impacto do push protection em seus repositórios por meio de informações e tendências de dados valiosos, como tipos de credenciais ou repositórios problemáticos”, afirmam Zain Malik e Courtney Claessens, gerentes do GitHub.
Agora, as empresas têm visibilidade do número total de credenciais interceptadas pelo push protection, e também o número de credenciais ignoradas ou bloqueadas com sucesso.
O recurso também mostrará quais credenciais são frequentemente bloqueadas e quais repositórios têm mais alertas de push protection.
Por fim, receberão informações sobre bypass e os motivos mais comuns pelos quais ocorrem, bem como os tipos de credenciais e repositórios constantemente associados a alertas de push protection.
Como começar
Push protection para usuários individuais: o primeiro passo é acessar as configurações pessoais do GitHub clicando no avatar e depois em “Settings”. A partir daí, ir até “Security” e clicar em “Code security & analysis”. Na seção “User”, clique em “Enable” ao lado de “Push protecting for yourself” para garantir que todas as linhas sejam protegidas pelo push protection ao realizar commits.
Métricas de push protection: pessoas que forem proprietárias de organizações e gerentes de segurança podem acessar métricas de push protection na visão geral de segurança (security overview).
Na visualização da organização, basta clicar na guia “Security”, a partir daí, no lado esquerdo, clicar em “Secret scanning” embaixo de “Metrics”. Assim, é possível explorar os dados sobre push protection e otimizar estratégias para evitar vazamentos de credenciais.
Mais Informações
O GitHub disponibiliza mais informações e instruções detalhadas em sua documentação, além de postagens do changelog tanto para push protection para indivíduos quanto para métricas de push protection. Pessoas interessadas também podem recorrer à comunidade de segurança de código para suporte adicional.