GitHub Secret Scanning: belang en best practices

GitHub wordt door ontwikkelaars wereldwijd gebruikt om projectcode op te slaan en te delen. Het stelt ontwikkelaars in staat om openbare repositories aan te maken en samen te werken aan verschillende projecten. GitHub, opgericht in 2008, is een cloudgebaseerde dienst die hostingmogelijkheden biedt en werd in 2018 overgenomen door Microsoft.

GitHub heeft een versiebeheersysteem dat functies biedt zoals het indienen van softwareverzoeken, bugtracking, taakbeheer, enz. Het is open source, toegankelijk en heeft meer dan 372 miljoen repositories. De makers van GitHub hadden echter rekening moeten houden met de veiligheid, en soms kunnen er compromissen worden gesloten. Wachtwoorden kunnen worden gestolen en GitHub-geheimen kunnen relatief onveilig worden bewaard.

GitHub heeft een geheim scanprogramma om geheime tokenformaten te analyseren en te zoeken naar onbedoelde commits. Het kan de resultaten van deze scans naar cloudserviceproviders sturen om eindpunten te verifiëren. GitHub-scans voorkomen ook frauduleus gebruik van inloggegevens en kunnen worden toegepast op openbare npm-pakketten. Organisaties kunnen privé-repositories scannen, geheime scans bekijken en beheren, en meer. GitHub heeft ook een geheime waarschuwingsdienst die webhooks van GitHub accepteert waarvan bekend is dat ze geheime scanberichten bevatten.

Deze handleiding behandelt alles wat u moet weten over GitHub Secret Scanning en gaat dieper in op de details.

Wat is GitHub Secret Scanning?

GitHub Secret Scanning omvat verschillende beveiligingsfuncties die geheimen binnen organisaties veilig houden. Sommige van deze functies zijn beschikbaar als tools, terwijl bedrijven die gebruikmaken van de geavanceerde beveiligingsoplossingen van GitHub unieke voordelen genieten.

GitHub Secret Scanning haalt geheimen uit de volledige Git-geschiedenis van alle branches in GitHub-repositories.

Waarom is GitHub Secret Scanning belangrijk?

GitHub Secret Scanning is noodzakelijk omdat het potentiële lekken van inloggegevens voorkomt en helpt bij het definiëren van regex-patronen voor ontwikkelaars. Iedereen weet dat repositories het risico lopen dat gevoelige gegevens worden blootgesteld, en dat het hardcoderen van geheimen in de broncode slecht is. DevOps-teams gebruiken GitHub-acties om workflows te automatiseren en applicaties te implementeren, en beschikken over een krachtige ingebouwde functie genaamd secrets. Hiermee kunnen gebruikers waarden veilig opslaan en gebruiken binnen de broncode, maar experts zijn van mening dat er meer nodig is dan alleen het gebruik van de tool voor adequate beveiliging.

Geheime scantools van derden zijn externe services die een veilige, beveiligde en gecentraliseerde manier bieden om geheimen te beheren en op te slaan in DevOps-workflows. Ze bieden meer flexibiliteit dan GitHub Actions-geheimen en bieden extra functies zoals grotere opslagcapaciteiten, hogere opslaglimieten, rotatie van geheime sleutels, beheer van toegangscontrole, auditing, versiebeheer, enz.

Functies die beschikbaar zijn voor Secret Scanning in GitHub

• GitHub Actions-geheimen zijn alleen zichtbaar voor GitHub Actions en worden niet weergegeven in de uitvoerlogboeken of webinterfaces
• GitHub Secret Scanning kan worden gebruikt om versleutelde gegevensbestanden zoals SSH-certificaten op te slaan en kan op elk moment worden bijgewerkt of verwijderd
• GitHub Actions Secrets volgen specifieke beveiligingsbeleidsregels en versleutelingsprotocollen die alleen geautoriseerde gebruikers kunnen bekijken en openen

De standaard GitHub Secret Scanner heeft echter verschillende beperkingen:

• De eerste is dat er een maximale grootte van 64 KB per geheim geldt en dat er slechts 100 geheimen in repositories mogen worden opgeslagen
• Een organisatie kan niet meer dan 1000 geheimen opslaan en beschikt niet over geavanceerde beveiligingsfuncties zoals geheim sleutelrotatie, auditing, versiebeheer, enz.
• Er is geen ondersteuning voor meerdere repositories beschikbaar en organisaties kunnen geheimen niet gelijktijdig synchroniseren, delen, organiseren of bijwerken in meerdere workflows of projecten.

Hoe werkt GitHub Secret Scanning?

Gebruikers kunnen configureren hoe ze realtime waarschuwingen ontvangen voor het scannen van repositories op gelekte geheimen. De GitHub Secret Scanning-functie kan worden ingeschakeld voor elke openbare repository die zij bezitten. Zodra deze functie is ingeschakeld, scant GitHub alle geheimen in de volledige Git-geschiedenis voor alle branches die aanwezig zijn in de GitHub-repository.

Secret Scanning werkt voor meerdere repositories binnen dezelfde organisatie. GitHub-geheimscanning helpt organisaties om frauduleus gebruik van geheimen te voorkomen en voorkomt dat ze per ongeluk worden vastgelegd.

Hoe configureer je GitHub-geheimscanning?

1. Ga naar GitHub.com en navigeer naar de hoofdpagina van de repository
2. Klik op het tabblad Instellingen om een vervolgkeuzemenu te openen. Klik in het gedeelte Beveiliging in de zijbalk op Codebeveiliging en analyse
3. Controleer of GitHub Advanced Security is ingeschakeld. Als dit niet het geval is, klik je op Inschakelen.
4. Klik op GitHub Advanced Security inschakelen voor deze repository.
5. Zodra dit is gebeurd, wordt geheim scannen automatisch ingeschakeld voor de openbare repository van de organisatie. Als er een knop ‘Inschakelen’ naast de functie Geheim scannen staat, moet u hierop klikken. U kunt geheim scannen uitschakelen door op de knop Uitschakelen te klikken.
6. GitHub Secret Scanning blokkeert ook commits die ondersteunde geheimen bevatten en biedt een Push Protection-functie. U kunt op Enable klikken als u pushes handmatig wilt controleren.

Wat zijn de best practices voor GitHub Secret Scanning?

Hier zijn enkele best practices voor het scannen van GitHub-geheimen:

1. Geef prioriteit aan nieuwe geheimen

Het is essentieel om recent ingediende inloggegevens te controleren voordat ze in geheimen worden opgeslagen. Dit helpt om het aantal geheimen voor organisaties laag te houden en maakt gebruik van webhooks om nieuwe geheimmeldingen naar de juiste teams te sturen. Ontwikkelaars moeten adequate trainingsdocumentatie ontvangen en deze verspreiden voordat ze nieuwe geheimen vastleggen. Het opvolgen van waarschuwingen en het implementeren van een geavanceerd herstelproces is cruciaal voor elk type geheim.

2. Behandel vastgelegde geheimen

Het is cruciaal om de meest kritieke vastgelegde geheimen aan te pakken en oudere geheimen te gaan beoordelen. Nadat elk type geheim is geïdentificeerd, moeten ontwikkelaars het herstelproces definiëren en documenteren. Ze moeten ook alle wijzigingen doorgeven aan nieuwe gebruikers en richtlijnen opstellen voor het beheer van de betrokken repositories.

3. Geavanceerde beveiligingsscans uitvoeren

U kunt geavanceerde beveiligingsscans instellen met behulp van GitHub Enterprise Cloud. Uw organisatie heeft een GitHub Advanced Security-licentie nodig en GitHub kan automatisch partnerscans uitvoeren op elke openbare repository.

Voor- en nadelen van GitHub Secret Scanning

Voordelen van Git Secret Scanning

Secret Scanning is een waardevolle functie die organisaties helpt gevoelige informatie te identificeren en maatregelen te nemen om deze te beschermen. Het gebruik van Secret Scanning-tools helpt bedrijven hun volledige cloudbeveiliging te versterken. GitHub biedt gratis Secret Scanning aan voor alle openbare repositories en werkt samen met cloudgebaseerde serviceproviders om gelekte inloggegevens te signaleren via zijn Secret Scanning-partnerprogramma.

Open-sourceontwikkelaars krijgen gratis toegang tot waarschuwingen over gelekte geheimen in code, kunnen wijzigingen volgen en passende maatregelen nemen. GitHub heeft ook push-beveiliging toegevoegd voor al zijn GitHub Advanced Security-klanten, met ingang van april 2022, voor het proactief scannen van geheimen en het voorkomen van lekken voordat ze worden vastgelegd. Push-beveiliging voor aangepaste patronen wordt per patroon geconfigureerd en toegepast.

Hieronder volgt een lijst met voordelen van GitHub Secret Scanning:

• GitHub Secret Scanning is gratis voor organisaties van elke omvang en biedt openbare toegang
• Het biedt extra beveiliging en maakt het uiterst gemakkelijk om alle geheimen die zijn opgeslagen in openbare repositories bij te houden.
• GitHub Secret Scanning is veel sneller dan het handmatig controleren van afzonderlijke regels code.
• De gezondheidszorg, financiële sector en detailhandel kunnen gevoelige informatie versleutelen en ervoor zorgen dat ze voldoen aan de relevante normen en voorschriften.

Nadelen van Git Secret Scanning

Dit zijn de nadelen van GitHub Secret Scanning:

• Bedreigingsanalyse kan te lang duren
• Er kunnen valse positieven en valse negatieven voorkomen tijdens het detecteren van geheimen
• Kan de ontwikkeling vertragen
• Er bestaat een kans op automatische buildfouten
• Er worden minder regels gescand in vergelijking met GitHub-tools van derden voor het scannen van geheimen
• Extractiefouten in databases en waarschuwingen in gegenereerde code
• De configuratie voor het scannen van geheimen voor partnerpatronen op openbare repositories kan niet worden gewijzigd

Hoe helpt SentinelOne bij het scannen van geheimen op GitHub?

Gestolen inloggegevens zijn verantwoordelijk voor bijna de helft van alle cyberaanvallen. GitHub heeft meer dan 1 miljoen gelekte geheimen op openbare repositories en meer dan een dozijn onopzettelijke lekken per minuut gedetecteerd.

Onbedoelde lekken van API's, tokens en andere geheimen verhogen het risico op cloud datalekken, reputatieschade en juridische aansprakelijkheid. De standaard GitHub Secret Scanner vertrouwt op bekende aanvalspatronen en handtekeningen om misbruik van inloggegevens te detecteren. Organisaties hebben niet echt een manier om te onderzoeken hoe deze geheimen worden benaderd en negeren het menselijke element.

Dit is waar SentinelOne om de hoek komt kijken.

SentinelOne identificeert verkeerde configuraties in de cloud, lekken van inloggegevens en controleert Infrastructure as Code (IaC)-sjablonen. Het stelt beveiligingsteams in staat om onbeheerde instanties, Kubernetes-clusters en diverse clouddiensten op te sporen.

De uitgebreide CNAPP van SentinelOne gaat een stap verder en dwingt shift-left-beveiliging af. De Offensive Security Engine identificeert alle potentiële exploits en verhelpt onbekende of verborgen kwetsbaarheden. SentinelOne CNAPP scant openbare en privécloudrepositories en beveiligt bedrijfskritische workloads. Het biedt beveiligingsautomatisering die de cloudbeveiliging van een organisatie onmiddellijk kan verbeteren. Het platform kan meer dan 750 verschillende soorten geheimen detecteren en voorkomt ook het lekken van cloudreferenties.

Door een combinatie van statische machine learning analyse en dynamische gedragsanalyse kunnen beveiligingsteams in realtime problemen met geheimen scannen en verhelpen. SentinelOne CNAPP wisselt regelmatig geheime sleutels, waardoor het risico dat geheimen worden gecompromitteerd wordt verminderd. Het platform implementeert symmetrische versleutelingsalgoritmen zoals AES, DES en 3DES voor verbeterde bescherming. Purple AI is uw persoonlijke beveiligingsanalist en versnelt uw SecOps met een uniform, door AI aangestuurd besturingsvlak. Het vermindert de gemiddelde responstijd en stroomlijnt onderzoeken naar geheimen.

Conclusie

Hoewel GitHub Secret Scanning veel resources kan verbruiken, moeten organisaties hier aandacht aan besteden. Goede GitHub secret scanning-technieken kunnen helpen om datalekken te voorkomen, klanten te beschermen en operationele storingen tot een minimum te beperken.

GitHub secret scanning is een essentieel onderdeel van cloudbeveiliging en helpt bij het identificeren van defecten in coderepositories. Zonder GitHub-tools voor het scannen van geheimen zouden entiteiten kwetsbaar blijven, wat ernstige gevolgen zou kunnen hebben.

FAQs