En un contexto donde las amenazas cibernéticas son cada vez más comunes, la exposición involuntaria de secretos digitales se ha convertido en un problema serio que afecta a desarrolladores de todo el mundo. Durante el año 2024, más de 39 millones de secretos fueron filtrados a través de GitHub, una plataforma clave para la colaboración en el desarrollo de software. A pesar de que GitHub ha implementado medidas de protección, como el bloqueo de secretos a través de su sistema de push protection, el problema persiste y sigue siendo una de las causas más habituales y prevenibles de incidentes de seguridad.
Con el objetivo de abordar esta preocupación, GitHub ha anunciado el lanzamiento de la siguiente evolución de su producto GitHub Advanced Security, que busca ofrecer mecanismos más robustos para proteger códigos y secretos. Este nuevo enfoque incluye opciones de protección de secretos y de seguridad de código que ahora están disponibles como productos independientes. Además, se ha introducido una herramienta de escaneo de secretos a nivel organizacional de forma gratuita para ayudar a los equipos a identificar y reducir la exposición de datos sensibles.
Los secretos digitales, que incluyen credenciales, claves API y tokens, son manejados por los desarrolladores centenares de veces al día y su exposición accidental es común. Sin embargo, muchos incidentes también ocurren debido a que desarrolladores bienintencionados exponen deliberadamente información en un intento de facilitar su trabajo. Esto se convierte en una brecha de seguridad que los atacantes pueden aprovechar para acceder a sistemas más valiosos.
Para enfrentar esta problemática, GitHub ha colaborado con múltiples proveedores, incluyendo AWS y Google Cloud, para desarrollar un programa que permite la detección de secretos en colaboración. Esto no solo mejora la eficacia en la identificación de secretos expuestos, sino que también permite a los emisores tomar acciones correctivas rápidas en caso de una filtración pública.
Uno de los avances más destacados es la implementación de la protección de push, una solución que impide la exposición accidental de secretos antes de que sean enviados a repositorios. Este sistema utiliza tecnologías desarrolladas en asociación con otras plataformas en la nube para garantizar una detección precisa y rápida, con una tasa baja de falsos positivos.
El nuevo programa de GitHub también permite que desarrolladores de equipos más pequeños accedan a herramientas de seguridad sin necesidad de suscribirse a la versión Enterprise, haciendo que la seguridad en el desarrollo sea más asequible y accesible. Los usuarios ahora pueden ejecutar análisis de riesgo de secretos en sus organizaciones, que proporcionan insights claros sobre la exposición de secretos y cómo mitigarla.
Con estos esfuerzos, GitHub mira hacia el futuro con la intención de mejorar constantemente la protección de los secretos y contribuir a un entorno de desarrollo más seguro para la comunidad. La adopción de prácticas de seguridad desde la creación hasta la revocación de secretos es fundamental para minimizar riesgos.
vía: GitHub Security
