GitHub ha anunciado importantes mejoras en su plataforma Advanced Security luego de detectar más de 39 millones de secretos filtrados durante 2024 en repositorios públicos y privados, incluyendo API keys y credenciales que ponen en riesgo a usuarios y organizaciones.
Filtraciones masivas a pesar de medidas anteriores
En su nuevo informe, GitHub afirma que los secretos fueron encontrados a través de su herramienta de secret scanning, diseñada para detectar claves API, contraseñas y otros datos confidenciales en los repositorios.
“Filtrar secretos sigue siendo una de las causas más comunes—y evitables—de incidentes de seguridad”, dice GitHub.
“A medida que desarrollamos código más rápido, también filtramos secretos más rápido.”
Esto ocurre a pesar de medidas previas como Push Protection, activada por defecto en todos los repositorios públicos desde febrero de 2024.
Razones detrás de las filtraciones
Según GitHub, las causas principales de estas filtraciones son:
Comodidad sobre seguridad: muchos desarrolladores cometen errores al manejar secretos directamente en sus commits.
Exposición accidental: secretos que quedan en el historial de Git incluso después de haber sido eliminados del código principal.
Nuevas herramientas de seguridad para todos los equipos ️
GitHub ha rediseñado su suite de seguridad para hacerla más accesible y escalable.
Ahora, las herramientas Secret Protection y Code Security se pueden adquirir de forma independiente, sin necesidad de comprar la suite completa de GitHub Advanced Security.
“Esto permite a equipos pequeños acceder a protección robusta sin romper su presupuesto,” explicó la compañía.
Principales novedades de GitHub Advanced Security
- Secret Protection y Code Security como productos independientes
- Acceso más económico y flexible para organizaciones pequeñas.
- Escaneo gratuito de secretos a nivel organizacional
- Una revisión puntual de todos los repos (públicos, privados, internos y archivados).
- Push Protection mejorada con control delegado de excepciones
- Ahora se puede definir quién puede omitir las reglas de protección.
- Detección de secretos potenciada por IA con Copilot
- Mejora la detección de contraseñas no estructuradas y reduce falsos positivos.
- Detección más precisa gracias a alianzas con proveedores cloud
- AWS, Google Cloud y OpenAI colaboran con GitHub para responder más rápido a filtraciones.
Recomendaciones para desarrolladores y organizaciones
GitHub también compartió buenas prácticas para evitar filtraciones:
- Activar Push Protection a nivel repositorio, organización o empresa.
- Evitar secretos hardcoded en el código fuente.
- Usar variables de entorno, gestores de secretos o vaults para almacenar credenciales.
- Automatizar la gestión de secretos usando herramientas integradas en CI/CD y plataformas cloud.
- Revisar la guía de buenas prácticas de GitHub para mantener una gestión segura de secretos de principio a fin.