GitHub Secret Scanning ve Public Monitoring Güncellemeleri
GitHub, secret scanning ve public monitoring tarafında bu hafta birbirini tamamlayan bir dizi iyileştirmeyi yayına aldı. Yeni ortaklıklar, yeni detektörler, varsayılan olarak devreye alınan push koruması, webhook yükünde eklenen kategori alanı ve public monitoring uyarı listesine gelen içgörü kartları; güvenlik ekiplerinin sızıntıları hem daha hızlı fark etmesini hem de kurumsal ölçekte daha iyi yönetmesini hedefliyor.
Resend, secret scanning ortaklık programına katıldı
GitHub secret scanning, depoları token ve özel anahtar gibi bilinen sır türleri için tarayarak veri sızıntısı ve dolandırıcılık risklerini azaltmaya çalışıyor. Bu kapsamda GitHub, Resend ile ortaklık kurarak bu sağlayıcının tokenlarını da tarama listesine ekledi.
Ortaklık modelinin işleyişi tanıdık: Public repolarda bulunan Resend sırları doğrudan Resend’e iletiliyor; sağlayıcı da tokenı iptal etmek veya ilgili hesap yöneticilerini bilgilendirmek gibi uygun aksiyonu alıyor. Kısacası geliştiricinin farkında olmadan ifşa ettiği bir Resend anahtarı, geleneksel “önce saldırgan bulur” senaryosu yerine sağlayıcı tarafından proaktif biçimde ele alınıyor.
Kendi tokenlarını taratmak isteyen sağlayıcılar için giriş noktası değişmedi: Secret scanning ortaklık programı dokümantasyonu üzerinden süreç incelenebiliyor, katılım için GitHub Support üzerinden bir talep açılarak başvuru yapılabiliyor.
Yeni detektörler: APIclub ve Resend
Secret scanning artık iki yeni sır türünü otomatik olarak algılıyor:
- APIclub –
apiclub_api_key - Resend –
resend_api_key
Burada iki farklı davranış modeli olduğunu hatırlamakta fayda var. Partner sırlar, public repolarda tespit edildiğinde ortaklık programı üzerinden doğrudan sağlayıcıya raporlanıyor. User sırlar ise hem public hem private repolarda tespit edildiğinde secret scanning uyarısı oluşturuyor. Böylece kurum içi ekipler kendi kod tabanlarındaki ifşaları görüp müdahale edebiliyor.
Push koruması varsayılanları genişledi: VolcEngine
Push protection, sırrın repoya girmeden önce commit aşamasında yakalanmasını sağlayan bir savunma katmanı. GitHub, bu hafta bir detektörü daha varsayılan olarak push koruması kapsamına aldı:
- VolcEngine –
volcengine_ark_api_key
Secret scanning etkinleştirilmiş depolarda — ücretsiz public repolar dahil — bu sırrı içeren commitler otomatik olarak bloklanıyor. Böylece geliştiricinin “ben sonra temizlerim” refleksine gerek kalmadan, sırın git geçmişine hiç girmemesi hedefleniyor.
Webhook yükünde yeni alan: secret_category
secret_scanning_alert webhook’u artık her uyarıda secret_category alanı taşıyor. Böylece entegrasyonlarınızda sır türlerini kendi başınıza sınıflandırmak zorunda kalmıyorsunuz. Alan iki değer alıyor:
default: Sağlayıcıya özgü desenler ile kurumunuzun tanımladığı özel desenler.generic: Genel desenler ve yapay zekâ tarafından tespit edilen sırlar.
Bu ayrım, secret scanning arayüzündeki Default ve Generic sonuç görünümleriyle birebir örtüşüyor. Uyarıları filtrelemek, farklı ekiplere yönlendirmek veya raporlamada ayrı ele almak isteyen otomasyonlar için işlevsel bir katkı; kendi tarafınızda bir eşleme tablosu tutma zorunluluğunu ortadan kaldırıyor.
Public monitoring uyarı listesine içgörü kartları
Enterprise düzeyindeki public monitoring akışında, uyarı listesinin en üstünde artık içgörü kartları görüntüleniyor. Amaç, tek tek uyarılara girmeden önce güvenlik ekibine sızıntının kapsamı hakkında hızlı bir bağlam sunmak.
- Atıf bazında ilişkili sızıntılar (Associated leaks by attribution): Uyarıların, sızıntının kuruma nasıl atfedildiğine göre dağılımı. İki temel kategori var: member activity (bir kurumsal üyenin yazdığı commit) ve verified domain (commit e-postasının doğrulanmış alan adlarınızdan birinde olması).
- Enterprise üye sayısı: Kurumsal hesabınızdaki toplam üye sayısı; enterprise People sekmesindeki sayıyla eşleşiyor.
- Doğrulanmış alan adları: Kurumunuza bağlı doğrulanmış domainler; hem enterprise hem organizasyon sahipliğindeki alanları kapsıyor.
Bu kartlar bir arada değerlendirildiğinde, ifşanın büyüklüğünü ve sızıntıların kuruma hangi yollarla ulaştığını uyarı listesinden çıkmadan görmek mümkün oluyor. Özellikle yüksek hacimli uyarı akışına sahip ekipler için önceliklendirmeyi kolaylaştıran bir üst-seviye görünüm sağlıyor.
Neden önemli?
Tek tek bakıldığında bu değişiklikler küçük gibi görünse de birlikte anlamlı bir tablo çiziyor: ortaklık programı yeni bir sağlayıcıyla genişliyor, algılayıcı kataloğu iki yeni sır türüyle büyüyor, push protection kapsamı bir detektör daha kazanıyor, webhook API’si otomasyon dostu bir alanla zenginleşiyor ve public monitoring arayüzü kurumsal ölçekte bağlam sunuyor. Yani hem tespit, hem engelleme, hem de raporlama katmanlarında aynı anda ilerleme var.
Kaynaklar ve İleri Okuma
- Improvements to secret scanning and public monitoring – GitHub Changelog
- About secret scanning – GitHub Docs
- Public monitoring – GitHub Docs
- Supported secret scanning patterns
- Secret scanning partner program
- Secret scanning community discussion
- GitHub Secret Scanning API ve Webhook İyileştirmeleri
- GitHub Secret Scanning Büyüdü: Yeni Detektörler, Daha Az Sızıntı
- GitHub Secret Scanning: Genişletilmiş Metadata ve Çoklu Doğrulama







Yorum gönder