GitHub Secret Scanning: Belang & Best Practices

GitHub wordt wereldwijd door ontwikkelaars gebruikt om projectcode op te slaan en te delen. Het stelt ontwikkelaars in staat om openbare repositories te creëren en samen te werken aan verschillende projecten. GitHub, opgericht in 2008, is een cloudgebaseerde dienst die hostingmogelijkheden biedt en werd in 2018 overgenomen door Microsoft.

GitHub beschikt over een versiebeheersysteem met functies zoals het indienen van softwarerequests, bugtracking, taakbeheer, enzovoort. Het is open-source, toegankelijk en heeft meer dan 372 miljoen repositories. De makers van GitHub hadden echter meer rekening moeten houden met beveiliging, waardoor er soms compromissen kunnen ontstaan. Wachtwoorden kunnen worden gestolen en GitHub secrets kunnen relatief onveilig worden bewaard.

GitHub heeft een secret scanning partnerprogramma om geheime tokenformaten te analyseren en te zoeken naar per ongeluk gemaakte commits. Het kan de resultaten van deze scans naar cloudserviceproviders sturen om endpoints te verifiëren. GitHub-scans voorkomen ook frauduleus gebruik van inloggegevens en kunnen worden toegepast op openbare npm-pakketten. Organisaties kunnen privérepositories scannen, secret scanning bekijken en beheren, en meer. GitHub heeft ook een secret alert-service die webhooks accepteert van GitHub waarvan bekend is dat ze secret scanning-berichtpayloads bevatten.

Deze gids behandelt alles wat u moet weten over GitHub Secret Scanning en gaat dieper in op de details.

Wat is GitHub Secret Scanning?

GitHub Secret Scanning omvat verschillende beveiligingsfuncties die secrets binnen organisaties beschermen. Sommige van deze functies zijn beschikbaar als tools, terwijl bedrijven die gebruikmaken van geavanceerde beveiligingsoplossingen van GitHub unieke voordelen genieten. 

GitHub secret scanning haalt secrets uit de volledige Git-geschiedenis van alle branches in GitHub-repositories.

Waarom is GitHub Secret Scanning belangrijk?

GitHub Secret Scanning is noodzakelijk omdat het potentiële lekken van inloggegevens voorkomt en helpt bij het definiëren van regex-patronen voor ontwikkelaars. Iedereen weet dat repositories risico lopen op blootstelling van gevoelige gegevens, en het hardcoden van secrets in de broncode is onwenselijk. DevOps-teams gebruiken GitHub Actions om workflows te automatiseren en applicaties te implementeren, en beschikken over een krachtige ingebouwde functie genaamd secrets. Hiermee kunnen gebruikers waarden veilig opslaan en gebruiken binnen de broncode, maar experts zijn van mening dat alleen het gebruik van deze tool niet voldoende is voor adequate beveiliging. 

Externe secret scanning-tools zijn externe diensten die een veilige, gecentraliseerde manier bieden om secrets te beheren en op te slaan in DevOps-workflows. Ze bieden meer flexibiliteit dan GitHub Actions secrets en bieden extra functies zoals grotere opslagcapaciteit, hogere opslaglimieten, rotatie van geheime sleutels, toegangsbeheer, auditing, versiebeheer, enzovoort.

Beschikbare functies voor Secret Scanning in GitHub

• GitHub Actions secrets zijn alleen zichtbaar voor GitHub Actions en worden niet weergegeven in de uitvoerlogs of webinterfaces
• GitHub Secret Scanning kan worden gebruikt om versleutelde databestanden zoals SSH-certificaten op te slaan en kan op elk moment worden bijgewerkt of verwijderd
• GitHub Actions Secrets volgen specifieke beveiligingsbeleid en encryptieprotocollen die alleen door geautoriseerde gebruikers kunnen worden bekeken en benaderd

De standaard GitHub Secret Scanner kent echter verschillende beperkingen: 

• De eerste is dat er een maximale grootte van 64 KB per secret geldt en dat er slechts 100 secrets per repository mogen worden opgeslagen 
• Een organisatie kan niet meer dan 1.000 secrets opslaan en mist geavanceerde beveiligingsfuncties zoals rotatie van geheime sleutels, auditing, versiebeheer, enzovoort
• Er is geen ondersteuning voor cross-repository, en organisaties kunnen secrets niet gelijktijdig synchroniseren, delen, organiseren of bijwerken over meerdere workflows of projecten

Hoe werkt GitHub Secret Scanning?

Gebruikers kunnen configureren hoe zij realtime meldingen ontvangen voor het scannen van repositories op gelekte secrets. De GitHub secret scanning-functie kan worden ingeschakeld voor elke openbare repository die zij bezitten. Zodra deze is ingeschakeld, scant GitHub alle secrets in de volledige Git-geschiedenis van alle aanwezige branches binnen de GitHub-repository.

Secret scanning werkt voor meerdere repositories binnen dezelfde organisatie. GitHub secret scanning helpt organisaties om frauduleus gebruik van secrets te voorkomen en voorkomt dat deze per ongeluk worden gecommit.

Hoe configureert u GitHub Secret Scanning?

1. Ga naar GitHub.com en navigeer naar de hoofdpagina van de repository
2. Klik op het tabblad Settings om een dropdownmenu te openen. Klik in het beveiligingsgedeelte in de zijbalk op Code Security and analysis
3. Controleer of GitHub Advanced Security is ingeschakeld. Zo niet, klik dan op Enable.
4. Klik op Enable GitHub Advanced Security voor deze repository.
5. Nadat dit is gedaan, wordt secret scanning automatisch ingeschakeld voor de openbare repository van de organisatie. Als er een ‘Enable’-knop naast de Secret Scanning-functie staat, moet u daarop klikken. U kunt secret scanning uitschakelen door op de knop Disable te klikken.
6. GitHub secret scanning blokkeert ook commits die ondersteunde secrets bevatten en biedt een Push Protection-functie. U kunt Enable aanklikken als u pushes handmatig wilt beoordelen.

Wat zijn de best practices voor GitHub Secret Scanning?

Hieronder enkele best practices voor het scannen van GitHub secrets:

Het is essentieel om recent ingediende inloggegevens te beoordelen voordat ze als secrets worden opgeslagen. Dit helpt het aantal secrets voor organisaties laag te houden en gebruikt webhooks om nieuwe secretmeldingen naar de juiste teams te sturen. Ontwikkelaars dienen voldoende trainingsdocumentatie te ontvangen en deze te verspreiden voordat nieuwe secrets worden gecommit. Het opvolgen van meldingen en het implementeren van een geavanceerd herstelproces is cruciaal voor elk type secret.

Het is van groot belang om de meest kritieke gecommitte secrets aan te pakken en oudere secrets te gaan beoordelen. Na het identificeren van elk type secret moeten ontwikkelaars het herstelproces definiëren en documenteren. Zij dienen ook wijzigingen te communiceren aan nieuwe gebruikers en richtlijnen op te stellen voor het beheer van getroffen repositories.

U kunt geavanceerde beveiligingsscans instellen met behulp van GitHub Enterprise Cloud. Uw organisatie heeft hiervoor een GitHub Advanced Security-licentie nodig en GitHub kan automatisch partnerpatroon-scans uitvoeren op elke openbare repository.

Voor- en nadelen van GitHub Secret Scanning

Voordelen van Git Secret Scanning

Secret scanning is een waardevolle functie die organisaties helpt gevoelige informatie te identificeren en stappen te ondernemen om deze te beschermen. Het gebruik van secret scanning-tools helpt bedrijven hun gehele cloudbeveiligingspositie te versterken. GitHub biedt secret scanning gratis aan op alle openbare repositories en werkt samen met cloudgebaseerde serviceproviders om gelekte inloggegevens te signaleren via het secret scanning partnerprogramma.

Open-source ontwikkelaars krijgen gratis toegang tot meldingen over gelekte secrets in code, kunnen wijzigingen volgen en passende maatregelen nemen. GitHub heeft vanaf april 2022 push protection toegevoegd voor alle GitHub Advanced Security-klanten, waarmee proactief op secrets wordt gescand en lekken worden voorkomen voordat ze worden gecommit. Push protection voor aangepaste patronen wordt per patroon geconfigureerd en toegepast.

Hieronder een lijst met voordelen van GitHub Secret Scanning:

• GitHub secret scanning is gratis voor organisaties van elke omvang en biedt openbare toegang
• Het biedt extra beveiliging en maakt het zeer eenvoudig om alle secrets in openbare repositories bij te houden
• GitHub secrets scanning is veel sneller dan het handmatig controleren van individuele coderegels
• De gezondheidszorg, financiële sector en detailhandel kunnen gevoelige informatie versleutelen en voldoen aan de relevante normen en regelgeving.

Nadelen van Git Secret Scanning

De volgende nadelen zijn verbonden aan GitHub Secret Scanning:

• Bedreigingsanalyse kan te lang duren
• Er kunnen false positives en false negatives optreden tijdens het detecteren van secrets
• Kan de ontwikkeltijd vertragen
• Er is kans op automatische build-fouten
• Minder regels worden gescand in vergelijking met externe GitHub secret scanning-tools
• Extractiefouten in databases en meldingen in gegenereerde code
• Configuratie van secret scanning voor partnerpatronen op openbare repositories kan niet worden gewijzigd

Hoe helpt SentinelOne bij GitHub Secret Scanning?

Gestolen inloggegevens zijn verantwoordelijk voor bijna de helft van alle cyberaanvallen. GitHub heeft meer dan 1 miljoen gelekte secrets op openbare repositories gedetecteerd en meer dan een dozijn per ongeluk gelekte secrets per minuut.

Per ongeluk gelekte API’s, tokens en andere secrets vergroten het risico op cloud-datalekken, reputatieschade en juridische aansprakelijkheid. De standaard GitHub Secret Scanner vertrouwt op bekende aanvalspatronen en signatures om misbruik van inloggegevens te detecteren. Organisaties hebben eigenlijk geen manier om te onderzoeken hoe deze secrets worden benaderd en negeren het menselijke aspect. 

Hier komt SentinelOne in beeld.

SentinelOne identificeert cloudmisconfiguraties, gelekte inloggegevens en beoordeelt Infrastructure as Code (IaC)-templates. Het stelt securityteams in staat om onbeheerde instanties, Kubernetes-clusters en diverse clouddiensten op te sporen.

SentinelOne’s uitgebreide CNAPP gaat nog een stap verder en handhaaft shift-left-beveiliging. De Offensive Security Engine identificeert alle potentiële exploits en verhelpt onbekende of verborgen kwetsbaarheden. SentinelOne CNAPP scant openbare en privé cloudrepositories en beveiligt bedrijfskritische workloads. Het biedt security-automatisering die de cloudbeveiligingspositie van een organisatie direct kan verbeteren. Het platform kan meer dan 750 verschillende typen secrets detecteren en voorkomt ook het lekken van cloud-inloggegevens.

Door een combinatie van statische machine learning-analyse en dynamische gedragsanalyse kunnen securityteams problemen met secrets in realtime scannen en oplossen. SentinelOne CNAPP roteert geheime sleutels regelmatig, waardoor het risico op compromittering van secrets wordt verminderd. Het platform implementeert symmetrische encryptie-algoritmen zoals AES, DES en 3DES voor verbeterde bescherming. Purple AI is uw persoonlijke security-analist en versnelt uw SecOps met een uniform AI-gestuurd controlepaneel. Het verkort de Mean Time to Respond en stroomlijnt het onderzoek naar secrets. 

Bekijk een rondleiding

AI-gestuurde cloud workload-bescherming (CWPP) voor servers, VM's en containers, die runtime-bedreigingen in realtime detecteert en stopt.

Conclusie

Hoewel GitHub Secret Scanning veel middelen kan vergen, mogen organisaties het niet negeren. Goede GitHub secret scanning-technieken kunnen datalekken voorkomen, klanten beschermen en operationele storingen minimaliseren.

GitHub secret scanning is een essentieel onderdeel van cloudbeveiliging en helpt bij het identificeren van defecten in coderepositories. Zonder GitHub secret scanning-tools zouden organisaties kwetsbaar zijn, wat tot ernstige gevolgen kan leiden.