GitHub hôm thứ bảy đã thông báo rằng họ cho phép bảo vệ đẩy quét bí mật theo mặc định cho tất cả các lần đẩy đến kho lưu trữ công khai.
"Điều này có nghĩa là khi một bí mật được hỗ trợ được phát hiện trong bất kỳ lần đẩy nào đến kho lưu trữ công khai, bạn sẽ có tùy chọn xóa bí mật khỏi các cam kết của mình hoặc, nếu bạn cho rằng bí mật an toàn, hãy bỏ qua việc chặn", Eric Tooley và Courtney Claessens nói.
Bảo vệ đẩy lần đầu tiên được thử nghiệm như một tính năng chọn tham gia vào tháng 8/2023, mặc dù nó đã được thử nghiệm từ tháng 4/2022. Nó đã có sẵn rộng rãi vào tháng 5 năm 2023.
Tính năng quét bí mật được thiết kế để xác định hơn 200 loại mã thông báo và mẫu từ hơn 180 nhà cung cấp dịch vụ để ngăn chặn việc sử dụng gian lận của họ bởi các tác nhân độc hại.
Sự phát triển này diễn ra gần năm tháng sau khi công ty con của Microsoft mở rộng quét bí mật để bao gồm kiểm tra tính hợp lệ cho các dịch vụ phổ biến như Amazon Web Services (AWS), Microsoft, Google và Slack.
Nó cũng theo sau việc phát hiện ra một cuộc tấn công "nhầm lẫn repo" đang diễn ra nhắm vào GitHub đang tràn ngập nền tảng lưu trữ mã nguồn với hàng ngàn kho lưu trữ chứa phần mềm độc hại bị xáo trộn có khả năng đánh cắp mật khẩu và tiền điện tử từ các thiết bị của nhà phát triển.
Các cuộc tấn công đại diện cho một làn sóng khác của cùng một chiến dịch phân phối phần mềm độc hại đã được tiết lộ bởi Phylum và Trend Micro vào năm ngoái, tận dụng các gói Python không có thật được lưu trữ trên các kho lưu trữ nhân bản, trojan để cung cấp một phần mềm độc hại đánh cắp có tên BlackCap Grabber.
"Các cuộc tấn công nhầm lẫn repo chỉ đơn giản là dựa vào con người để chọn nhầm phiên bản độc hại so với phiên bản thực, đôi khi cũng sử dụng các kỹ thuật kỹ thuật xã hội", Apiiro cho biết trong một báo cáo tuần này.