*Por Mariam Sulakian e Zain Malik //As iniciativas de aplicações de segurança de maior sucesso ajudam as pessoas desenvolvedoras a trabalhar com mais eficiência. Você precisa saber quando vulnerabilidades existem no seu código para poder corrigi-las. Mas e se você, antes de tudo, conseguisse prever essas vulnerabilidades?

Quer ficar por dentro do mundo da tecnologia e ainda baixar gratuitamente nosso e-book Manual de Segurança na Internet? Clique aqui e assine a newsletter do 33Giga

O GitHub Advanced Security permite que as empresas utilizem a proteção em push para prevenir vazamento de credenciais e economizar centenas de horas de correção no downstream. A proteção em push já preveniu mais de 8 mil vazamentos de credenciais em 100 tipos de segredo desde seu lançamento em abril.

Quer saber tudo sobre Universo Sugar? Clique aqui e compre o e-book O Guia dos Sugar Daddy & Sugar Babies por apenas R$ 10

Agora, as empresas que definiram padrões customizáveis podem habilitar a proteção em push para esses padrões. Essa proteção para padrões customizados pode ser configurada em uma base padrão-por–padrão. Então, assim como já é possível escolher quais padrões publicar (e quais refinar primeiro no modo rascunho), também é possível decidir onde ativar a proteção em push baseada em positivos falsos.

“Se eu tentar fazer um push em uma credencial, vou saber imediatamente. A proteção em push do escaneamento de credenciais do GitHub me impede antes que a credencial seja enviada por meio de um push no código-base, e isso economiza muito do meu tempo. Se, no lugar disso, eu me apoiar só em ferramentas de varredura externas para escanear o repositório depois que a credencial já estiver exposta, vou precisar retirar esse segredo rapidamente e refazer meu código. A integração do escaneamento de credenciais e proteção em push do GitHub, inserida diretamente no flow de uma pessoa desenvolvedora, economiza tempo e ajuda a educar as pessoas  com melhores práticas.”

– David Florey, Diretor de Engenharia de Software, Intel

Habilitando a proteção em push

É possível definir padrões customizados ao nível de repositório, organizações e enterprises. Agora, também é possível habilitar a proteção em push para padrões customizados nos níveis de organização ou repositório. Com a proteção em push ativada, haverá bloqueios quanto contribuintes tentarem fazer um push de código que tenha alguma parte igual a do padrão definido.

Para definir um padrão customizado, basta acessar a página de configurações de segurança de códigos da organização. Depois de ativar o GitHub Advanced Security e o escaneamento de segredos, é possível criar qualquer padrão novo pelo UI. Quaisquer padrões customizados poderão ser testados antes da publicação.

Depois que o padrão estiver publicado, basta clicar em “Enable” do lado do “Push Protection” na página do padrão personalizado. O GitHub recomenda checar regularmente os alertas personalizados para ter certeza que os alertas de falso positivo estejam o mais baixos possível para as pessoas desenvolvedoras e os alertas de segurança delas, para que os alertas sejam propriamente ativados quando necessários.

Saiba mais sobre o escaneamento de credenciais

O escaneamento de credenciais está disponível gratuitamente para todos os repositórios públicos. O GitHub oferece proteções em push e cobertura para repositórios privados como parte do GitHub Advanced Security, que também inclui o escaneamento de código e insights de segurança no supply chain.

Como se tornar parceiro de escaneamento de credenciais do GitHub?

Os provedores de serviços que quiserem proteger os usuários da plataforma contra o vazamento de credenciais, podem participar do programa de parceiros de escaneamento de credenciais. Atualmente, o GitHub apoia mais de 200 padrões e mais de 100 parceiros. Os interessados devem enviar uma solicitação para [email protected].

—

Mariam Sulakian é Gerente Sênior de Produtos da GitHub. Zain Malik, Gerente Sênior de Marketing de Produtos.