Github está reforzando su seguridad después de encontrar los asombrosos 39 millones de secretos (claves de API, credenciales, trabajos) de repositorios en 2024. Esta exposición pone a los usuarios y organizaciones en riesgo grave.
Según Github’s informeesta fuga masiva fue detectada por su servicio de escaneo secretoque identifica claves, contraseñas y tokens de API expuestos dentro de los repositorios.
«Las filtraciones secretas siguen siendo una de las cusas más comunes y prevenibles de los incidentes de seguridad», declaró Github en su anuncio, señalando: «A medida que desarrollamos el código más rápido que nunca antes imaginable, también estamos filtrando secretos más rápido que nunca».
A pesar de las medidas como «Push Protection», lanzado en abril de 2022 y habilitado de forma predeterminada en repositorios públicos en febrero de 2024, los secretos continúan filtrándose debido a que los desarrolladores priorizan la conveniencia al manejar secretos durante las confirmaciones y la exposición accidental al repositorio a través de la historia de GIT.
Para combatir estas fugas, GitHub está implementando varias medidas y mejoras nuevas:
- Protección de secreto independiente y seguridad del código: Disponible como productos separados, estas herramientas ya no requieren una licencia de seguridad avanzada completa de GitHub, con el objetivo de ser más asequible para los equipos más pequeños.
- Evaluación de riesgo secreto de la organización libre: Verifica todos los repositorios (público, privado, interno y archivado) para secretos expuestos, disponibles para todas las organizaciones de GitHub sin costo.
- Push Protection con controles de derivación delegada: Los escaneos de protección push mejorados para los secretos antes de que se impulse el código y permita a las organizaciones definir quién puede evitar la protección, agregando así el control a nivel de política.
- Detección secreta con copiloto: GitHub está aprovechando la IA a través de Copilot para detectar secretos no estructurados como contraseñas, con el objetivo de mejorar la precisión y reducir los falsos positivos.
- Detección mejorada a través de asociaciones de proveedores de nubes: GitHub está colaborando con proveedores como AWS, Google Cloud y OpenAI para mejorar la precisión de los detectores secretos y acelerar las respuestas a las filtraciones.
«A partir de hoy, nuestros productos de seguridad están disponibles para comprar como productos independientes para empresas, lo que permite a los equipos de desarrollo escalar la seguridad rápidamente», explicó Github. «Anteriormente, invertir en escaneo secreto y protección de empuje requería comprar un conjunto más grande de herramientas de seguridad, lo que lo hizo demasiado costoso para muchas organizaciones».
El tribunal desestima los reclamos de miles de millones de dólares contra el copiloto de GitHub
Más allá de las actualizaciones de GitHub, se insta a los usuarios a tomar medidas proactivas para salvaguardar contra las filtraciones secretas. Las recomendaciones incluyen habilitar la protección push en el repositorio, la organización o el nivel empresarial para bloquear preventivamente los secretos. GitHub también sugiere eliminar los secretos codificados mediante el uso de variables de entorno, gerentes secretos o bóvedas.
La plataforma aconseja además el uso de herramientas integradas con tuberías de CI/CD y plataformas en la nube para el manejo secreto programático, minimizando la interacción humana propensa a errores y la exposición potencial.
Por último, GitHub alienta a los usuarios a revisar la guía de ‘mejores prácticas’ para la gestión integral de secretos.
