GitHub ativa proteção para prevenir divulgação acidental de chaves e tokens

GitHub ativa proteção para prevenir divulgação acidental de chaves e tokens

O GitHub acaba de revelar uma mudança nas configurações dos seus reportórios, sendo que agora vai encontrar-se ativa a proteção “push” para todos os conteúdos públicos, de forma a prevenir que tokens de aceso ou chaves de API sejam inadvertidamente publicados.

Esta funcionalidade do GitHub encontra-se em fase Beta faz mais de dois anos, tendo sido revelada em Abril de 2022, como uma forma simples de prevenir que chaves de autenticação sejam incorretamente enviadas para conteúdos públicos, quando se atualiza código existente.

A funcionalidade ficou disponível para todos em Maio de 2023, mas agora será ativada por padrão para todos os repositórios dentro da plataforma em formato público. Os utilizadores ainda terão a capacidade de desativarem a funcionalidade, caso assim o pretendam, mas a entidade recomenda que seja mantida ativa para prevenir a divulgação acidental de dados sensíveis.

De acordo com a plataforma, esta funcionalidade preveni que as chaves e tokens de acesso a mais de 180 serviços, e de mais de 200 padrões diferentes, sejam acidentalmente partilhadas em código que venha a ficar acessível publicamente. Esta vai ficar ativa em todos os locais da plataforma por padrão já a partir desta semana – embora ainda possa demorar uma ou duas semanas a ser propagada para todas as contas da plataforma.

Para quem tenha o GitHub Enterprise, é ainda possível usar o GitHub Advanced Security, que conta com ainda mais medidas de proteção para prevenir a divulgação acidental de dados que podem ser considerados sensíveis para as empresas, e que vai além de apenas tokens de acesso ou chaves de API.

De acordo com a plataforma, apenas nas quatro primeiras semanas de 2024, a plataforma usou esta funcionalidade para prevenir mais de um milhão de chaves acidentalmente enviadas para locais públicos do seu site.