Analyse de jetons GitHub — un milliard de jetons identifiés et cinq nouveaux partenaires

Image of Justin Hutchings

Si vous avez déjà accidentellement partagé un jeton ou des informations d’identification dans un repository GitHub, ou si vous avez entendu parler de quelqu’un qui l’a fait, vous savez à quel point cela pourrait être dommageable si un utilisateur malveillant le découvrait et l’exploitait.

Il y a environ un an, nous avons introduit l’analyse des jetons pour aider à analyser les commits poussés sur GitHub et empêcher l’utilisation frauduleuse des informations d’identification partagées accidentellement. Depuis que nous avons mis en place l’analyse de jetons, nous avons envoyé un milliard de jetons à nos partenaires pour vérification et validation.

Cinq nouveaux partenaires d’analyse de jetons

GitHub s’engage à protéger ses clients contre toute menace liée à la sécurité et c’est dans ce cadre que nous sommes heureux d’annoncer que nous avons établi un partenariat avec Atlassian, Dropbox, Discord, Proctorio et Pulumi afin d’identifier les jetons de leurs plateformes. Ils rejoignent d’autres fournisseurs de services tels que Alibaba Cloud, AWS, Azure, Google Cloud, Mailgun, npm, Slack, Stripe et Twilio et ils actent à la protection des développeurs.

Désormais, si vous archivez accidentellement un jeton pour des produits tels que JIRA ou Discord, le fournisseur est informé de la correspondance potentielle quelques secondes après l’enregistrement, ce qui lui permet de révoquer le jeton avant qu’il ne soit détourné à des fins malveillantes.

Comment fonctionne l’analyse des jetons?

Chaque jour, près de neuf millions de commits sont poussés sur GitHub. Quelques secondes après que ces commits soient poussés (ou que des repositories privés soient rendus publics), nous analysons le contenu à la recherche d’un certain nombre de formats de jetons connus. Lorsque nous détectons une correspondance, nous en informons le fournisseur de services approprié et celui-ci réagit en conséquence, en révoquant les jetons et en avertissant les utilisateurs concernés.

Voici un exemple de la façon dont un utilisateur a été averti d’un jeton Discord poussé accidentellement dans un repository public:

A notification email about a user's Discord token

Fournisseurs de services: aidez-nous à prévenir les failles de sécurité avant qu’elles ne surviennent

Si vous êtes un fournisseur de services cloud ou API utilisant des jetons d’authentification et d’autorisation et souhaitez protéger vos utilisateurs de ces scénarios rares, mais potentiellement dévastateurs, nous aimerions travailler avec vous. C’est aussi simple qu’un peu de paperasse, définir un expression régulière qui corresponde à votre format de jeton et configurer un point de terminaison API.

En savoir plus sur comment devenir un partenaire d’analyse de jetons GitHub