Sono passate poche settimane dall’articolo che abbiamo scritto a fine marzo nel quale descrivevamo la preoccupante situazione relativa a secret e credenziali esposte all’interno dei repository GitHub. I dati parlavano e parlano chiaro: il numero di informazioni riservate che risultano esposte è in preoccupante crescita e la cosa peggiore è che, nonostante l’evidenza, la coscienza comune non sembra minimamente intaccata.
Della questione, inevitabilmente, se ne sono accorti anche in GitHub, tanto da pubblicare un articolo denso di suggerimenti nel quale viene evidenziata anche la strategia scelta dall’azienda per evitare il ripetersi di quella che a tutti gli effetti è una piaga.
C’è anche un video nel quale la questione secret leak viene affrontata nel dettaglio:
Nella sostanza però le regole suggerite sono sempre le stesse:
- Evita di inserire segreti nel codice.
- Abilita la Push Protection (gratuita per repo pubblici).
- Usa la Secret Scanning (gratuita per repo pubblici) per rilevare segreti già presenti.
- Applica best practice sui segreti:
- Creazione sicura e minimo privilegio.
- Rotazione periodica.
- Revoca tempestiva.
- Gestione automatizzata.
- Imposta policy di governance per il bypass dei blocchi.
- Monitora continuamente con strumenti di scanning.
- Esegui Secret Risk Assessment (scansione gratuita per tutte le org con piani Team/Enterprise).
Cose già sentite, giusto? Eppure i numeri non lasciano spazio a dubbi e vale la pena ripeterli: 39 milioni di secret scoperti.
GitHub ne approfitta poi per promuovere due nuovi servizi disponibili da aprile che si abbinano alla Secret Risk Assessment citata in precedenza e questi sono GitHub Secret Protection e GitHub Code Security, che costeranno rispettivamente 19 e 30 dollari al mese per ogni committer attivo.
Queste le caratteristiche dei due prodotti indicate nell’annuncio:
GitHub Secret Protection
- Enforcement delle policy per la protezione e la gestione degli alert, utile per la governance aziendale.
- Protezione in fase di push per evitare la pubblicazione accidentale di segreti.
- Rilevamento tramite AI con basso tasso di falsi positivi.
- Avvisi di secret scanning e notifiche.
- Possibilità di definire pattern personalizzati per individuare informazioni sensibili specifiche dell’organizzazione.
- Security overview per analizzare la distribuzione del rischio.
GitHub Code Security
- Copilot Autofix per correggere automaticamente vulnerabilità nel codice.
- Security campaigns per gestire il debito tecnico in sicurezza su larga scala.
- Dependabot per la protezione da vulnerabilità nelle dipendenze.
- Security overview (stessa funzionalità già vista in Secret Protection).
- Visualizzazione dei risultati di sicurezza provenienti da strumenti di terze parti.
Quindi una copertura globale della parte security del codice prodotto che, lo si capisce, ha un notevole peso economico. Di fatto si tratta di 50 dollari per utente al mese. Aziende di grandi dimensioni che hanno al loro interno decine se non centinaia di sviluppatori, dovranno fare le loro scelte in maniera ponderata.
I numeri dimostrano che l’approccio culturale sta fallendo, ma magari dove ha fallito l’awareness, avrà successo la spending review.
Da sempre appassionato del mondo open-source e di Linux nel 2009 ho fondato il portale Mia Mamma Usa Linux! per condividere articoli, notizie ed in generale tutto quello che riguarda il mondo del pinguino, con particolare attenzione alle tematiche di interoperabilità, HA e cloud.
E, sì, mia mamma usa Linux dal 2009.
English (US)