9:24
3/3/2023

GitHub poinformował, że usługa skanowania kodu w repozytoriach pod kątem sekretów jest już dostępna dla każdego. Warto ją sobie włączyć, bo przypadkowe pozostawienie w kodzie klucza to nie takie rzadkie zdarzenie

Co dokładnie oznacza “skanowanie sekretów”?

Więcej o tej usłudze znajdziecie w dokumentacji. My zacytujemy tylko kluczowy fragment:

You can enable secret scanning alerts across all the repositories you own to notify you of leaked secrets across your full repository history, including code, issues, description, and comments.

Poza informowaniem właściciela kodu, GitHub informuje też ponad 100 partnerów o tym, że jakiś token/klucz wyciekł i że warto go unieważnić.

Usługę włącza się w tym menu:

Jestem programistą/testerem, chcę pisać bezpieczny kod

Swoją aplikację warto zabezpieczać przed atakami nie tylko poprzez skanowanie jej kodu źródłowego mechanizmami GitHuba. Jeśli:

  • chcesz wiedzieć jakich błędów nie popełniać podczas tworzenia webaplikacji?
  • nauczyć się korzystać z kilkudziesięciu narzędzi do testowania bezpieczeństwa webaplikacji
  • chcesz nauczyć się wykonywać testy bezpieczeństwa/penetracyjne aplikacji webowych (od analizy ryzyka przez identyfikację podatności aż do raportu)
  • chcesz poznać techniki ataków i narzędzia wykorzystywane przez współczesnych włamywaczy
  • chcesz zabezpieczyć aplikacje webowe przed atakami

to zapraszamy na nasze 2 dniowe szkolenie z Atakowanie i Ochrony Webaplikacji:

Lublin: 15-16 kwietnia 2024r. — UWAGA: zostały tylko 2 wolne miejsca
Ostatnio ktoś zarejestrował się 27 marca 2024r. → zarejestruj się na to szkolenie

    2399 PLN netto (do 29 marca)
    2699 PLN netto (od 30 marca)

Wrocław: 15-16 kwietnia 2024r. — UWAGA: zostało tylko 1 wolne miejsce
Ostatnio ktoś zarejestrował się 19 marca 2024r. → zarejestruj się na to szkolenie

    2399 PLN netto (do 29 marca)
    2699 PLN netto (od 30 marca)

ZDALNIE: 20-21 kwietnia 2024r. — zostało 5 wolnych miejsc
Ostatnio ktoś zarejestrował się 25 marca 2024r. → zarejestruj się na to szkolenie

    2399 PLN netto (do 29 marca)
    2699 PLN netto (od 30 marca)

Szczecin: 29-30 kwietnia 2024r. — zostało 7 wolnych miejsc
Ostatnio ktoś zarejestrował się 27 marca 2024r. → zarejestruj się na to szkolenie

    2399 PLN netto (do 5 kwietnia)
    2699 PLN netto (od 6 kwietnia)

Kraków: 20-21 maja 2024r. — zostało 7 wolnych miejsc
Ostatnio ktoś zarejestrował się 20 marca 2024r. → zarejestruj się na to szkolenie

    2399 PLN netto (do 5 kwietnia)
    2699 PLN netto (od 6 kwietnia)

Warszawa: 27-28 maja 2024r. — zostało 8 wolnych miejsc
Ostatnio ktoś zarejestrował się 20 marca 2024r. → zarejestruj się na to szkolenie

    2399 PLN netto (do 12 kwietnia)
    2699 PLN netto (od 13 kwietnia)

Poznań: 12-13 czerwca 2024r. — zostało 9 wolnych miejsc
Ostatnio ktoś zarejestrował się 27 marca 2024r. → zarejestruj się na to szkolenie

    2399 PLN netto (do 12 kwietnia)
    2699 PLN netto (od 13 kwietnia)

Gdańsk: 17-18 czerwca 2024r. — zostało 9 wolnych miejsc
Ostatnio ktoś zarejestrował się 20 marca 2024r. → zarejestruj się na to szkolenie

    2399 PLN netto (do 12 kwietnia)
    2699 PLN netto (od 13 kwietnia)

Dowiedz się, jak zabezpieczyć swoje dane i pieniądze przed cyberprzestępcami. Wpadnij na nasz kultowy ~3 godzinny wykład pt. "Jak nie dać się zhackować?" i poznaj kilkadziesiąt praktycznych i przede wszystkim prostych do zastosowania porad, które skutecznie podniosą Twoje bezpieczeństwo i pomogą ochronić przed atakami Twoich najbliższych. Uczestnicy tego wykładu oceniają go na: 9,34/10!

Na ten wykład powinien przyjść każdy, kto korzysta z internetu na smartfonie lub komputerze, prywatnie albo służbowo. Wykład prowadzimy prostym językiem, wiec zrozumie go każdy, także osoby spoza branży IT. Dlatego na wykład możesz spokojnie przyjść ze swoimi rodzicami lub mniej technicznymih znajomych. W najbliższych tygodniach będziemy w poniższych miastach:

Zobacz pełen opis wykładu klikając tutaj lub kup bilet na wykład klikając tu.

5 komentarzy

Dodaj komentarz
  1. Dla kont bezpłatnych owo skanowanie działa tylko w zakresie repozytoriów publicznych, nie działa dla prywatnych. Dopiero konta płatne mogą włączyć skanowanie prywatnych zasobów.

  2. 100 wyrazów to już artykuł? :)

  3. To to nie jest domyślnie włączone???

    Byłem przekonany że jest, a to by chyba oznaczało że taki Discord skanuje repozytoria masowo na własną rękę, bo raz byłem świadkiem jak pewna osoba zacommitowała swój token do bota na publicznym repo i dosłownie w kilka chwil został unieważniony i wszyscy admini serwera dostali o tym wiadomość…

  4. Ale to jest od dawna już samo włączone dla publicznych repo…ale wiadomo jakoś trzeba klik wygenerować aby zamieścić reklamę seminarium

Twój komentarz

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.

RSS dla komentarzy: