GitHub analyse et identifie un milliard de jetons et étend son écosystème partenaires
août 2019 par Marc Jacob
GitHub a franchi une nouvelle étape dans la protection de ses clients en identifiant un milliard de jetons, et en s’adjoignant les expertises d’Atlassian, Dropbox, Discord, Proctorio et Pulumi.
GitHub s’engage à protéger ses clients contre toute menace liée à la sécurité. Dans ce cadre, l’entreprise annonce de nouveaux partenariats avec Atlassian, Dropbox, Discord, Proctorio et Pulumi, afin d’identifier les jetons de leurs plateformes pour acter à la protection des développeurs. Ils rejoignent d’autres fournisseurs de services tels que Alibaba Cloud, AWS, Azure, Google Cloud, Mailgun, npm, Slack, Stripe et Twilio.
Désormais, si les développeurs archivent accidentellement un jeton pour des produits tels que JIRA ou Discord, le fournisseur est immédiatement informé de la correspondance potentielle et ce, quelques secondes après l’enregistrement. Le fournisseur peut ainsi révoquer le jeton avant qu’il ne soit détourné à des fins malveillantes.
Un milliard de jetons analysés pour contrer toute tentative de fraude
Le partage d’un jeton ou d’informations d’identification dans un repository GitHub peut s’avérer dommageable en cas d’accès et d’utilisation malveillante. C’est pourquoi, il y a un an, GitHub a introduit l’analyse des jetons, avec pour objectif d’aider à analyser les commits poussés sur GitHub et ainsi, empêcher l’utilisation frauduleuse des informations d’identification partagées accidentellement. Depuis l’implémentation de l’analyse de jetons, un milliard d’entre eux ont été partagés aux partenaires GitHub pour vérification et validation.
Analyser pour mieux protéger
Chaque jour, près de neuf millions de commits sont poussés sur la plateforme. Quelques secondes après que ces commits soient poussés (ou que des repositories privés soient rendus publics), GitHub analyse le contenu à la recherche d’un certain nombre de formats de jetons connus. Lorsqu’une correspondance est détectée, GitHub en informe directement le fournisseur de services approprié et celui-ci peut réagir en conséquence, notamment en révoquant les jetons et en avertissant les utilisateurs concernés.