Bienvenido al blog de Undercode   Click to listen highlighted text! Bienvenido al blog de Undercode
Inicio Noticias GitHub ahora buscará PyPI, secretos de RubyGems

GitHub ahora buscará PyPI, secretos de RubyGems

por Dragora

GitHub ha ampliado recientemente sus capacidades de análisis de secretos a repositorios que contienen secretos de registro de PyPI y RubyGems.

La medida ayuda a proteger millones de aplicaciones creadas por desarrolladores de Ruby y Python que, sin darse cuenta, pueden estar comprometiendo secretos y credenciales en sus repositorios públicos de GitHub.

GitHub ahora buscará PyPI, secretos de RubyGems

Ayer, GitHub anunció que ahora escaneará automáticamente los repositorios que exponen los secretos de PyPI y RubyGems, como credenciales y tokens de API.

Para aprovechar esta función, los desarrolladores deben asegurarse de que  GitHub Advanced Security esté habilitado para su repositorio, que parece ser el caso predeterminado para repositorios públicos:

«Para los repositorios públicos en GitHub.com, estas funciones están permanentemente activadas y solo se pueden deshabilitar si cambia la visibilidad del proyecto para que el código ya no sea público», afirma GitHub.

Similar a un nombre de usuario y contraseña, los secretos o tokens son cadenas que uno puede usar para autenticarse mientras usa un servicio.

Las aplicaciones que dependen de API de terceros utilizan con frecuencia secretos (claves de API privadas) en su código para obtener acceso a los servicios de API.

Como tal, uno debe tener cuidado de que los secretos no se vean comprometidos, ya que eso puede conducir a ataques mucho mayores que afecten a la cadena de suministro de software en general.

Antes de esto, GitHub buscaría secretos npm, NuGet y Clojars comprometidos accidentalmente, entre otros.

Como lo vio BleepingComputer, hay una  lista extensa  de más de 70 tipos diferentes de secretos actualmente admitidos por GitHub Advanced Security.

Estos incluyen secretos para registros de código abierto (como npm, PyPI, RubyGems, Nuget, Clojars, etc.) y servicios que no son de administración de paquetes como Adobe y OpenAI:

Secretos de GitHub escaneando candidatos
Tipos de secretos admitidos por GitHub Advanced Security  (GitHub)

¿Qué sucede cuando se identifica un secreto?

Cuando GitHub detecta una contraseña, un token de API, claves SSH privadas u otro secreto admitido expuesto en un repositorio público, notifica al encargado del registro.

Los mantenedores del registro, por ejemplo, recientemente agregaron PyPI y RubyGems, luego revocarían la credencial expuesta y enviarían un correo electrónico al desarrollador explicando por qué:

Secreto comprometido del correo electrónico de RubyGems
Un correo electrónico de muestra de RubyGems que alerta al desarrollador de un secreto revocado  (GitHub)

«En cada caso, escaneamos automáticamente cada confirmación en un repositorio público o esencia en busca de credenciales potencialmente filtradas».

«Si encontramos uno, notificamos al registro, y automáticamente revocan cualquier secreto comprometido y notifican a su propietario», explica la ingeniera de software de GitHub Annie Gesellchen en la publicación del blog de ayer .

La ventaja aquí de la asociación de GitHub con RubyGems y PyPI sigue siendo que los secretos expuestos se revocan en segundos de forma automatizada, en lugar de esperar a que el desarrollador realice una acción manual.

Como informa BleepingComputer una y otra vez [ 1 , 2 , 3 ], los secretos y credenciales expuestos se han traducido en infracciones exitosas.

Como tal, el escaneo automatizado de secretos nos acerca un paso más a proteger la infraestructura del desarrollador de fugas accidentales y aumentar la seguridad de la cadena de suministro.

Fuente: www.bleepingcomputer.com

You may also like

Dejar Comentario

Click to listen highlighted text!