GitHub ได้นำเสนอความสามารถใหม่เพื่อช่วยสแกนโทเค็นใน repository สาธารณะและแจ้งเตือน

GitHub ประกาศคุณลักษณะด้านความปลอดภัยใหม่ๆ เมื่อวันอังคารที่ผ่านมา ซึ่งมีจุดมุ่งหมายเพื่อช่วยให้นักพัฒนาซอฟต์แวร์ปลอดภัยจากช่องโหว่ และช่วยให้เก็บข้อมูลที่สำคัญ เช่น โทเค็นการเข้าถึง และ code ที่ไม่เปิดเผยต่อสาธารณะได้ปลอดภัยขึ้น ล่าสุดบริษัทได้ประกาศความสามารถใหม่ที่จะช่วย scan โทเค็น และ credential ใน repository สาธารณะ ที่ใช้สำหรับบริการของ cloud อย่างเช่น AWS, Azure, Google, Slack และ GitHub เอง โดยอาจจะเป็น private key ที่เกี่ยวข้องกับบัญชีผู้ใช้งานของ GitHub ที่ยังไม่ถูกเข้ารหัส ซึ่งเพิ่มเติมมาจากของเดิมที่ช่วย scan เพียงแค่โทเค็นของ GitHub OAuth และโทเค็นส่วนตัวเท่านั้น

การเปิดเผยโทเค็นไว้ในแหล่งข้อมูลสาธารณะนั้นถือว่าเป็นปัญหาใหญ่มาก เนื่องจากผู้ที่ได้ไปนั้นจะสามารถเข้าถึงข้อมูลที่ไม่ต้องการเปิดเผยได้อย่างง่ายดาย ซึ่งประเด็นนี้ถูกหยิบยกมาพูดถึงหลังจากเมื่อเดือนที่แล้ว Facebook พบกับปัญหาด้านความปลอดภัย ที่ส่งผลให้แฮกเกอร์สามารถขโมยโทเค็นสำหรับเข้าถึงบัญชีไปได้อย่างมากมาย นักพัฒนาซอฟต์แวร์ที่ใช้ GitHub อาจเผลอใส่ข้อมูลโทเค็นสำคัญไว้ใน code ที่เปิดเป็นสาธารณะเอาไว้ เมื่อ scan เจอจะมีการแจ้งให้ผู้ให้บริการของโทเค็นรับทราบ เพื่อสร้างโทเค็นใหม่ และแจ้งให้แก่ผู้ใช้งาน

นอกจากนี้ยังมีการประกาศ Security Advisory API ซึ่งจะรวมข้อมูลความปลอดภัยจากแหล่งต่างๆ และช่วยในการอัพเดตให้หากเป็นปัญหาที่เกี่ยวข้อง Project ต่างๆ บนแพลตฟอร์มของ GitHub โดย API จะช่วยให้ผู้ใช้สามารถทำการอัพเดตความปลอดภัยต่างๆ บน Project ของตนเองได้ง่ายขึ้น นอกจากนี้ยังได้เพิ่มเติมการแจ้งช่องโหว่ด้านความปลอดภัยสำหรับภาษา Java และ .NET ซึ่งก่อนหน้านี้รองรับแค่ JavaScript, Ruby และ Python เท่านั้น

ที่มา:cyberscoop