GitHub hat am Donnerstag bekannt gegeben, dass es seinen geheimen Scan-Service für alle öffentlichen Repositories auf der Code-Hosting-Plattform kostenlos zur Verfügung stellt.
„Secret Scanning Alerts benachrichtigen dich direkt über geleakte Geheimnisse in deinem Code“, sagte das Unternehmen und fügte hinzu, dass es die Einführung voraussichtlich bis Ende Januar 2023 abschließen wird.
Das Secret Scanning soll Repositories auf Access Tokens, private Schlüssel, Zugangsdaten, API-Schlüssel und andere Geheimnisse in mehr als 200 Formaten untersuchen, die möglicherweise versehentlich weitergegeben wurden, und Warnmeldungen generieren, um ihren Missbrauch zu verhindern.
Die Sicherheitsoption war bisher auf Repositories beschränkt, die Organisationen gehören, die die GitHub Enterprise Cloud nutzen und über eine GitHub Advanced Security Lizenz verfügen.
Für Kunden von GitHub Advanced Security geht der Schutz noch einen Schritt weiter, indem die Scans nach offengelegten Geheimnissen, einschließlich benutzerdefinierter Muster, während Code-Pushs durchgeführt werden.
Die Microsoft-Tochter hat außerdem angekündigt, dass sie ab März 2023 die Zwei-Faktor-Authentifizierung für „bestimmte Nutzergruppen“ einführen und bis Ende nächsten Jahres auf alle GitHub-Nutzer ausweiten will.
Zu diesen Nutzern werden wahrscheinlich diejenigen gehören, die GitHub- oder OAuth-Apps veröffentlicht, ein Release erstellt, Code zu wichtigen Open-Source-Repositories beigetragen haben und Administratoren von Unternehmen und Organisationen sind.
Das Unternehmen erklärte außerdem, dass es „hart daran arbeitet“, Passkey-Unterstützung für eine stärkere phishing-resistente Authentifizierung zu integrieren.