La función antes era paga y permite proteger el código y crear alertas.
Siempre es bueno evitar que información sensible se filtre por error en la codificación de un proyecto en desarrollo colaborativo. En ese sentido, la plataforma GitHub ofrecía la función de escaneo secreto, pero hasta el momento estaba reservada solo a los que habían contratado el servicio de Advanced Security.
La buena noticia es que, ahora, el escaneo secreto está disponible para todos los repositorios públicos de GitHub de forma gratuita.
Con GitHub Advanced Security, las organizaciones utilizan la protección push para evitar fugas de secretos y ahorrar tiempo, dinero y malasangre en reparar los daños. Según la empresa, Push Protection ya ha evitado más de 8.000 fugas de secretos en 100 tipos de secretos desde su lanzamiento inicial en abril.
El servicio escanea repositorios en busca de más de 200 formatos de token conocidos y luego alerta a los socios sobre posibles fugas, y también puede definir sus propios patrones de expresiones regulares.
Puede definir patrones personalizados en los niveles de repositorio, organización y empresa. Y ahora, también puede habilitar la protección push para patrones personalizados a nivel de organización o repositorio. Con la protección de inserción habilitada, GitHub impondrá bloqueos cuando los colaboradores intenten insertar código que contenga coincidencias con el patrón definido.
Para definir un patrón personalizado, hay que ir a la página de configuración de seguridad del código de su organización. Una vez que haya habilitado GitHub Advanced Security y el escaneo de secretos, puede crear un nuevo patrón personalizado a través de la interfaz de usuario.
Una vez que publique su patrón y esté seguro de que el patrón crea alertas con un bajo número de falsos positivos, puede hacer clic en "Habilitar" además de "Protección de inserción" en la página de su patrón personalizado. GitHub recomienda revisar regularmente las alertas de su patrón personalizado para asegurarse de mantener el ruido de falsos positivos lo más bajo posible para sus desarrolladores. Este uso estratégico de la protección push puede ayudarlo a generar confianza entre sus colaboradores y sus alertas de seguridad, de modo que las alertas se activen correctamente cuando sea necesario.
Cuando suba su código a GitHub, este le alertará automáticamente sobre los secretos filtrados en su código fuente. Hay que tener en cuenta que el despliegue de este servicio será gradual y recién estará disponible para todos los usuarios hacia fin de 2023.