Introduction

Github a lancé une initiative pour améliorer l'hygiène de ses secrets il y a plusieurs années. L'objectif était de réduire les risques liés aux informations sensibles exposées dans les dépôts. Grâce à la fonctionnalité de scanning de secrets, Github a découvert plus de 20 000 secrets répartis sur plus de 15 000 dépôts.

Contexte Technique

La découverte de ces secrets a conduit à une analyse approfondie pour déterminer lesquels représentaient un réel risque. Les équipes de sécurité ont travaillé pour attribuer une propriété et remédier en toute sécurité à ces secrets. Le processus a duré neuf mois, aboutissant à zéro alerte ouverte.

Les secrets ne se trouvent pas seulement dans le code, mais également dans les tickets de support, les rapports de chasse aux bugs et les pages wiki. Les équipes ont dû élaborer des playbooks partagés pour gérer ces différents flux de travail et éviter de créer de nouveaux problèmes.

Analyse et Implications

L'approche de Github pour gérer les secrets a évolué avec le temps. L'entreprise a investi dans des contrôles plus solides, une meilleure instrumentation et une réduction systématique des risques pour les modèles hérités. Cette démarche reflète l'engagement de Github à améliorer la sécurité, à réduire l'exposition et à garantir que les pratiques internes répondent aux mêmes normes élevées que celles attendues dans l'industrie.

Les équipes ont adopté une approche par phases pour résoudre les problèmes de secrets. La première phase consistait à activer le scanning de secrets et la protection des push sur tous les dépôts pour empêcher l'accumulation de nouveaux secrets. La deuxième phase visait à comprendre et à trier les alertes pour séparer le bruit des problèmes réels.

Perspective

La démarche de Github pour gérer les secrets offre des enseignements pour d'autres entreprises. Il est essentiel de comprendre que les secrets ne se limitent pas au code et de développer des stratégies pour gérer les différents flux de travail. L'approche par phases, allant de l'activation du scanning de secrets à la validation de ce qui est réellement actif, peut aider les équipes à prioriser et à remédier efficacement aux secrets exposés.