GitHub amplía sus herramientas de seguridad tras la filtración de 39 millones de secretos en 2024

GitHub anunció actualizaciones de su plataforma de Seguridad Avanzada tras
detectar más de 39 millones de secretos filtrados en repositorios durante 2024, incluyendo claves API y credenciales, lo que expuso a usuarios y
organizaciones a graves riesgos de seguridad.

En un nuevo informe de GitHub, la empresa de desarrollo afirma que los 39
millones de secretos se encontraron mediante su
servicio de escaneo de secretos, una función de seguridad que detecta claves API, contraseñas, tokens y
otros secretos en los repositorios.

«Las filtraciones de secretos siguen siendo una de las causas más comunes
—y prevenibles— de incidentes de seguridad»
,
afirma el anuncio de GitHub.
«A medida que desarrollamos código a una velocidad sin precedentes, también
filtramos secretos a una velocidad sin precedentes».

Esto ocurre a pesar de las medidas de protección específicas de GitHub, como
la «Protección Push», implementada en abril de 2022 y
activada por defecto
en todos los repositorios públicos en febrero de 2024.

Según GitHub, las principales razones por las que se siguen filtrando secretos
son la priorización de la comodidad por parte de los desarrolladores que
gestionan secretos durante las confirmaciones y la exposición accidental del
repositorio a través del historial de Git.

GitHub renueva su Seguridad Avanzada

GitHub anunció varias medidas y mejoras nuevas en los sistemas existentes para
mitigar las filtraciones de información confidencial en la plataforma.

«A partir de hoy, nuestros productos de seguridad están disponibles para su
compra como productos independientes para empresas, lo que permite a los
equipos de desarrollo escalar la seguridad rápidamente»
, explicó GitHub.

Anteriormente, invertir en escaneo de secretos y protección contra envíos
requería adquirir un conjunto más amplio de herramientas de seguridad, lo que
resultaba demasiado costoso para muchas organizaciones. Este cambio garantiza
una seguridad escalable con Protección de Secretos y la Seguridad de Código ya
no está fuera del alcance de muchas organizaciones.

Los cambios en GitHub Advanced Security se resumen a continuación:

  • Protección de Secretos y Seguridad de Código independientes: ahora
    disponibles como productos independientes, estas herramientas ya no
    requieren una licencia completa de GitHub Advanced Security, lo que las hace
    más asequibles para equipos más pequeños.
  • Evaluación gratuita de riesgos de secretos para toda la organización:
    un escaneo puntual que revisa todos los repositorios (públicos, privados,
    internos y archivados) en busca de secretos expuestos, gratuito para todas
    las organizaciones de GitHub.
  • Protección contra envíos con controles de omisión delegados: la
    protección contra envíos mejorada escanea los secretos antes de enviar el
    código y permite a las organizaciones definir quién puede omitir la
    protección, lo que añade control a nivel de políticas.
  • Detección de secretos con tecnología Copilot: GitHub ahora utiliza IA
    a través de Copilot para detectar secretos no estructurados, como
    contraseñas, lo que mejora la precisión y reduce los falsos positivos.
    Detección mejorada mediante colaboraciones con proveedores de la nube:
    GitHub colabora con proveedores como AWS, Google Cloud y OpenAI para crear
    detectores de secretos más precisos y responder con mayor rapidez a las
    filtraciones.

Además de las iniciativas y mejoras de GitHub, los usuarios también reciben
una lista de acciones recomendadas para protegerse de las filtraciones de
secretos.

En primer lugar, se recomienda habilitar la protección Push a nivel de
repositorio, organización o empresa para bloquear los secretos antes de que
se publiquen en un repositorio.

GitHub también destaca la importancia de reducir el riesgo eliminando por
completo los secretos codificados del código fuente, utilizando en su lugar
variables de entorno, gestores de secretos o bóvedas para almacenarlos.

La plataforma sugiere utilizar herramientas que se integren con pipelines de
CI/CD y plataformas en la nube para gestionar los secretos programáticamente,
reduciendo así la interacción humana que puede generar errores y exponerlos.

Por último, se recomienda a los usuarios de GitHub que revisen la guía de
«Mejores prácticas»
y se aseguren de gestionar los secretos de forma adecuada de principio a fin.

Fuente:
BC

Ver fuente

Related Post