TechTalkThai ศูนย์รวมข่าว Enterprise IT ออนไลน์แห่งแรกในประเทศไทย
GitHub เผยพบการรั่วไหลของ Secret กว่า 39 ล้านรายการในปี 2024 พร้อมเปิดตัวบริการใหม่สำหรับองค์กรทุกขนาด รวมถึงบริการสแกน secret ฟรีสำหรับทุกองค์กร
GitHub ได้ประกาศเปิดตัวบริการ GitHub Advanced Security รูปแบบใหม่ที่มุ่งเน้นการปกป้อง secret ขององค์กร โดยแยกบริการออกเป็นผลิตภัณฑ์เดี่ยวสองรายการคือ Secret Protection และ Code Security ซึ่งสามารถซื้อแยกจากกันได้ทั้งสำหรับลูกค้า Enterprise และสำหรับผู้ใช้งานระดับ GitHub Team นอกจากนี้ยังมีบริการใหม่คือ Secret Risk Assessment ที่เปิดให้ใช้งานฟรีสำหรับทุกองค์กร เพื่อช่วยตรวจสอบการรั่วไหลของ secret ในทุก repository ไม่ว่าจะเป็นแบบ public, private, internal หรือแม้แต่ repository ที่ถูก archived ไปแล้ว
จากข้อมูลของ GitHub พบว่ามีการรั่วไหลของ secret มากกว่า 39 ล้านรายการบน GitHub ในปี 2024 เพียงปีเดียว และทุกนาทีระบบจะบล็อก secret หลายรายการผ่านระบบ Push Protection การรั่วไหลของ secret ยังคงเป็นสาเหตุที่พบบ่อยที่สุดและป้องกันได้ของเหตุการณ์ด้านความปลอดภัย GitHub มุ่งมั่นที่จะแก้ไขปัญหานี้ผ่านโปรแกรมความร่วมมือกับบริษัทต่างๆ เช่น AWS, Google Cloud Platform, Meta และ OpenAI ที่มุ่งมั่นในการปกป้องชุมชนนักพัฒนาจากการรั่วไหลของ secret และในปีที่ผ่านมา GitHub ได้เปิดใช้งาน Push Protection โดยอัตโนมัติสำหรับ public repository ซึ่งช่วยบล็อกการรั่วไหลของ secret หลายล้านรายการสำหรับชุมชน open source
จากการศึกษาพบว่า GitHub Secret Protection เป็นเครื่องมือสแกน secret ที่มีคะแนนความแม่นยำ 75% (เทียบกับอันดับสองที่ได้เพียง 46%) นอกจากนี้ GitHub ยังแนะนำให้องค์กรปฏิบัติตามแนวทางความปลอดภัยในการจัดการ secret lifecycle ตั้งแต่การสร้างจนถึงการเพิกถอน โดยควรทำตามหลักการให้สิทธิ์น้อยที่สุด หมุนเวียน secret อย่างสม่ำเสมอ และจำกัดการเข้าถึงเมื่อไม่จำเป็นหรือเมื่อถูกบุกรุก และควรจัดการ secret แบบ automate เมื่อใดก็ตามที่เป็นไปได้ เพื่อลดการมีส่วนร่วมของมนุษย์
ที่มา: https://github.blog/security/application-security/next-evolution-github-advanced-security/
