GitHub anunció actualizaciones de su plataforma de Seguridad Avanzada tras detectar más de 39 millones de secretos filtrados en repositorios durante 2024, incluyendo claves API y credenciales, lo que expuso a usuarios y organizaciones a graves riesgos de seguridad.
En un nuevo informe de GitHub, la empresa de desarrollo afirma que los 39 millones de secretos se encontraron mediante su servicio de escaneo de secretos, una función de seguridad que detecta claves API, contraseñas, tokens y otros secretos en los repositorios.
"Las filtraciones de secretos siguen siendo una de las causas más comunes —y prevenibles— de incidentes de seguridad", afirma el anuncio de GitHub. "A medida que desarrollamos código a una velocidad sin precedentes, también filtramos secretos a una velocidad sin precedentes".
Esto ocurre a pesar de las medidas de protección específicas de GitHub, como la "Protección Push", implementada en abril de 2022 y activada por defecto en todos los repositorios públicos en febrero de 2024.
Según GitHub, las principales razones por las que se siguen filtrando secretos son la priorización de la comodidad por parte de los desarrolladores que gestionan secretos durante las confirmaciones y la exposición accidental del repositorio a través del historial de Git.
GitHub renueva su Seguridad Avanzada
GitHub anunció varias medidas y mejoras nuevas en los sistemas existentes para mitigar las filtraciones de información confidencial en la plataforma.
"A partir de hoy, nuestros productos de seguridad están disponibles para su compra como productos independientes para empresas, lo que permite a los equipos de desarrollo escalar la seguridad rápidamente", explicó GitHub.
Anteriormente, invertir en escaneo de secretos y protección contra envíos requería adquirir un conjunto más amplio de herramientas de seguridad, lo que resultaba demasiado costoso para muchas organizaciones. Este cambio garantiza una seguridad escalable con Protección de Secretos y la Seguridad de Código ya no está fuera del alcance de muchas organizaciones.
Los cambios en GitHub Advanced Security se resumen a continuación:
- Protección de Secretos y Seguridad de Código independientes: ahora disponibles como productos independientes, estas herramientas ya no requieren una licencia completa de GitHub Advanced Security, lo que las hace más asequibles para equipos más pequeños.
- Evaluación gratuita de riesgos de secretos para toda la organización: un escaneo puntual que revisa todos los repositorios (públicos, privados, internos y archivados) en busca de secretos expuestos, gratuito para todas las organizaciones de GitHub.
- Protección contra envíos con controles de omisión delegados: la protección contra envíos mejorada escanea los secretos antes de enviar el código y permite a las organizaciones definir quién puede omitir la protección, lo que añade control a nivel de políticas.
- Detección de secretos con tecnología Copilot: GitHub ahora utiliza IA a través de Copilot para detectar secretos no estructurados, como contraseñas, lo que mejora la precisión y reduce los falsos positivos. Detección mejorada mediante colaboraciones con proveedores de la nube: GitHub colabora con proveedores como AWS, Google Cloud y OpenAI para crear detectores de secretos más precisos y responder con mayor rapidez a las filtraciones.
Además de las iniciativas y mejoras de GitHub, los usuarios también reciben una lista de acciones recomendadas para protegerse de las filtraciones de secretos.
En primer lugar, se recomienda habilitar la protección Push a nivel de repositorio, organización o empresa para bloquear los secretos antes de que se publiquen en un repositorio.
GitHub también destaca la importancia de reducir el riesgo eliminando por completo los secretos codificados del código fuente, utilizando en su lugar variables de entorno, gestores de secretos o bóvedas para almacenarlos.
La plataforma sugiere utilizar herramientas que se integren con pipelines de CI/CD y plataformas en la nube para gestionar los secretos programáticamente, reduciendo así la interacción humana que puede generar errores y exponerlos.
Por último, se recomienda a los usuarios de GitHub que revisen la guía de "Mejores prácticas" y se aseguren de gestionar los secretos de forma adecuada de principio a fin.
Fuente: BC