GitHub breidt token-scanning uit naar Atlassian, Dropbox, Discord, Proctorio en Pulumi. De functie identificeert gelekte toegangstokens, zodat ze tijdig kunnen worden ingetrokken voordat hackers er gebruik van maken.
Microsoft nam GitHub vorig jaar voor 7,5 miljard dollar over. Kort daarna breidde GitHub zijn token-scanning uit, als ondersteuning van een breder scala van verschillende soorten identificatie, aldus Venturebeat.
GitHub wil het scannen op alle openbare repositories mogelijk maken en ging daarvoor al eerdere samenwerkingen aan met Alibaba Cloud, Amazon Web Services, Azure, Google Cloud, Mailgun, NPM, Slack, Stripe en Twilio.
Praktijk
Mocht iemand nu per ongeluk een token inchecken voor producten als Jira of Discord, wordt de overeenkomstige partner op de hoogte gebracht van een mogelijke match. Deze ontvangt vervolgens metagegevens, inclusief de naam van de getroffen repository en de zogeheten commit in kwestie. De meeste commits en private repositories worden gescand binnen enkele seconden nadat ze openbaar zijn geworden.
Bij het detecteren van een match met een bekende niet-gecodeerde SSH-privésleutel, GitHub OAuth-token, persoonlijke toegangstoken of andere referentie, wordt de juiste serviceprovider op de hoogte gebracht. Dit geeft de serviceprovider de tijd om te reageren door tokens in te trekken en mogelijk gecompromitteerde gebruikers op de hoogte te brengen.
Miljard matches
“Het opzetten van cloudservices op deze manier is de norm voor de toekomst, maar het heeft inherente beveiligingsuitdagingen. Elke cloudservice die een ontwikkelaar gebruikt, vereist één of meer credentials, vaak in de vorm van API-tokens. Als ze in de verkeerde handen terechtkomen, kunnen ze worden gebruikt om toegang te krijgen tot gevoelige klantgegevens of enorme computerbronnen voor cryptocurrency-mining. Dat alles brengt aanzienlijke risico’s voor zowel gebruikers als cloudserviceproviders met zich mee”, aldus Patrick Toomey, product security engineering manager bij GitHub. Het bedrijf laat weten sinds oktober vorig jaar inmiddels meer dan een miljard token matches te hebben verstuurd.
GitHub in de lift
GitHub timmert flink aan de weg. Eerder maakte het bedrijf bekend dat het Dependabot heeft overgenomen. De externe tool opent automatisch pull requests om afhankelijkheden in populaire programmeertalen bij te werken. Bovendien maakte GitHub zijn dependency insights algemeen beschikbaar voor GitHub Enterprise Cloud. Daarnaast lanceerde het ook beveiligingsmeldingen, die exploits en bugs in dependencies markeren voor GitHub Enterprise Server-klanten.
Afgelopen mei onthulde het bedrijf de béta-beschikbaarheid van beveiligingsadviezen voor beheerders en beveiligingsbeleid. Het doel is om een soort van privéplaats te voorzien, waar ontwikkelaars samenkomen om beveiligingsadviezen te bespreken en publiceren naar geselecteerde gebruikers, om risico op informatielekken te vermijden.
Ook kondigde het bedrijf zijn samenwerking aan met WhiteSource, een opensource platform voor beveiliging en license compliance management. GitHub hoopt langs deze weg zijn dekking en remediesuggesties voor mogelijke kwetsbaarheden in .NET-, Java-, JavaScript-, Python- en Ruby-dependencies te verbreden en verdiepen.
Gerelateerd: Nieuwe versie GitHub Actions krijgt CI/CD-mogelijkheden