GitHub s’engage à protéger ses clients contre toute menace liée à la sécurité. Dans ce cadre, l’entreprise annonce de nouveaux partenariats avec Atlassian, Dropbox, Discord, Proctorio et Pulumi, afin d’identifier les jetons de leurs plateformes pour acter à la protection des développeurs. Ils rejoignent d’autres fournisseurs de services tels que Alibaba Cloud, AWS, Azure, Google Cloud, Mailgun, npm, Slack, Stripe et Twilio.

Désormais, si les développeurs archivent accidentellement un jeton pour des produits tels que JIRA ou Discord, le fournisseur est immédiatement informé de la correspondance potentielle et ce, quelques secondes après l’enregistrement. Le fournisseur peut ainsi révoquer le jeton avant qu’il ne soit détourné à des fins malveillantes.

Un milliard de jetons analysés pour contrer toute tentative de fraude

Le partage d’un jeton ou d’informations d’identification dans un repository GitHub peut s’avérer dommageable en cas d’accès et d’utilisation malveillante. C’est pourquoi, il y a un an, GitHub a introduit l’analyse des jetons, avec pour objectif d’aider à analyser les commits poussés sur GitHub et ainsi, empêcher l’utilisation frauduleuse des informations d’identification partagées accidentellement. Depuis l’implémentation de l’analyse de jetons, un milliard d’entre eux ont été partagés aux partenaires GitHub pour vérification et validation.

Analyser pour mieux protéger

Chaque jour, près de neuf millions de commits sont poussés sur la plateforme. Quelques secondes après que ces commits soient poussés (ou que des repositories privés soient rendus publics), GitHub analyse le contenu à la recherche d’un certain nombre de formats de jetons connus. Lorsqu’une correspondance est détectée, GitHub en informe directement le fournisseur de services approprié et celui-ci peut réagir en conséquence, notamment en révoquant les jetons et en avertissant les utilisateurs concernés.