La filiale de Microsoft commence à déployer pour l’ensemble de ses utilisateurs GitHub Push, une solution de scan qui permet de détecter et d'empêcher la publication de secrets dans les commits sur les dépôts publics.
GitHub se lance dans le scan des secrets. Le dépôt de code vient de mettre en place GitHub Push, une solution d’analyse qui donne aux utilisateurs la possibilité de vérifier qu’aucun secret ne soit publié dans leurs commits et de les supprimer le cas échéant. La solution prend ainsi en charge la protection de 200 types de token et modèles provenant de plus de 180 fournisseurs de services. Il est également possible d’y ajouter des modèles personnalisés.
En cours de déploiement pour tous les utilisateurs, Push devrait être effective sur l’ensemble des comptes d’ici une à deux semaines d’après GitHub. L’activation de la solution, par défaut pour tous les utilisateurs, peut être vérifiée via les réglages de sécurité. Une fois activée Push émettra une alerte lorsqu'un secret supporté sera détecté dans une push vers un dépôt public. Les utilisateurs auront alors la possibilité de supprimer le secret du commits ou, s’ils estiment que le secret est sûr, de contourner le blocage.
Au cours des huit premières semaines de 2024, GitHub a détecté plus d'un million de fuites de secrets sur des dépôts publics. soit plus d'une douzaine de fuites accidentelles chaque minute. La filiale de Microsoft, rappelle ainsi que les fuites accidentelles de clés d'API, de jetons et d'autres secrets risquent d'entraîner des failles de sécurité, de nuire à la réputation et d'engager la responsabilité juridique. En France, la société Git Guardian s’est faite une spécialité de la découverte et la gestion des secrets dans le code.