GitHub rafforza la sicurezza dopo il furto di 39 milioni di segreti

GitHub ha annunciato importanti aggiornamenti alla sua piattaforma Advanced Security in risposta alla crescente preoccupazione per la protezione dei dati sensibili. Nel 2024, oltre 39 milioni di segreti, tra cui chiavi API e credenziali, sono stati accidentalmente esposti attraverso i repository, mettendo a rischio la sicurezza di utenti e organizzazioni.

Questi segreti sono stati individuati grazie al servizio di scansione sviluppato da GitHub, che identifica dati sensibili come password e token all’interno dei codici condivisi. Nonostante gli sforzi di protezione, come la Push Protection introdotta nel 2022, le perdite di segreti rimangono una delle principali cause di vulnerabilità. La piattaforma ha riconosciuto che, sebbene gli sviluppatori lavorino rapidamente, la gestione dei segreti continua a essere problematica a causa della comodità e dell'esposizione accidentale tramite la cronologia git.

Per affrontare queste problematiche, GitHub ha introdotto nuove misure di sicurezza per prevenire future perdite di segreti. La piattaforma ha reso disponibili come prodotti separati Secret Protection e Code Security, eliminando la necessità di acquistare l’intera suite di GitHub Advanced Security, il che rende questi strumenti più accessibili anche per organizzazioni più piccole. Inoltre, GitHub ha annunciato che tutte le organizzazioni sulla piattaforma possono ora beneficiare di una scansione gratuita dei propri repository, sia pubblici che privati, per identificare eventuali segreti esposti.

Ulteriori miglioramenti

Un altro miglioramento riguarda la Push Protection, che ora consente alle organizzazioni di stabilire politiche più precise su chi possa bypassare i controlli di sicurezza, evitando l'invio di codici sensibili. La collaborazione con intelligenza artificiale, come Copilot, ha potenziato il rilevamento dei segreti non strutturati, migliorando l'accuratezza e riducendo i falsi positivi. Inoltre, GitHub ha avviato partnership con provider cloud come AWS, Google Cloud e OpenAI per migliorare il rilevamento dei segreti e rispondere in tempo reale alle perdite.

GitHub ha anche fornito una serie di raccomandazioni agli utenti per evitare ulteriori perdite di segreti, come l’abilitazione della Push Protection a livello di repository o organizzazione e la gestione dei segreti tramite variabili d’ambiente o strumenti di vault. Con questi nuovi strumenti e suggerimenti, GitHub mira a migliorare significativamente la sicurezza della piattaforma, consentendo una protezione scalabile e accessibile per tutte le organizzazioni.