GitHub har meddelat att det kommer att ge sin hemliga scanningskapacitet till fler användare med målet att hjälpa administratörer av offentliga arkiv att upptäcka hemliga läckor i sina arkiv innan ett intrång inträffar.
Utgåvan är en del av programmet Secret Scan Partner, som skapades för att meddela mer än 100 tjänsteleverantörer om exponeringen av tokens i offentliga arkiv.
Tidigare var funktionen endast tillgänglig för organisationer med GitHub Advanced Security, men den kommer nu att vara tillgänglig för administratörer av alla offentliga arkiv.
Github hemlig analys
Github påstår sig söka i över 200 tokenformat (som API-nycklar och autentiseringstokens) som normalt skulle ta i genomsnitt 327 dagar att identifiera, och har redan rapporterat 1,7 miljoner potentiella hemliga exponeringar i offentliga arkiv till sina partners.
Releasen har redan startat i betaform och GitHub förväntar sig att alla dess medlemmar ska ha tillgång i slutet av januari 2023. Företaget har även angett ett diskussionsforum (öppnas i en ny flik) där användare kan begära tidig åtkomst eller diskutera produkten i mer detaljer.
"När hemliga skanningsvarningar är tillgängliga i ditt förråd kan du aktivera dem i dina förvarsinställningar under "Säkerhet och kodskanning"-inställningar", noterade ett inlägg på företagets blogg (öppnas i en ny flik).
"Du kan se alla upptäckta hemligheter genom att gå till fliken 'Säkerhet' i ditt arkiv och välja 'Secret Scan' i sidopanelen under 'Vulnerability Alerts'. Där kommer du att se en lista över alla upptäckta hemligheter och du kan klicka på valfri varning för att avslöja den komprometterade hemligheten, dess plats och den föreslagna åtgärden för att åtgärda den.
GitHub 2FA
GitHub betonade sitt engagemang för säkerhet och meddelade också att det kommer att kräva att alla användare som bidrar med kod ska implementera tvåfaktorsautentisering (2FA) på sina konton i slutet av 2023, vilket påverkar cirka 94 miljoner användare.
En utvald grupp användare kommer först att meddelas om denna obligatoriska verifiering i mars 2023, vilket ger en grund för utvärdering innan GitHub släpper den till hela sin användarbas.