No es nada nuevo que los repositorios de código sean usados para alojar información confidencial de una organización como credenciales de acceso, datos personales, entre otros registros, lo cual puede resultar atractivo para los actores de amenazas siempre en busca de datos vulnerables.
Uno de los esfuerzos más importantes para prevenir estos incidentes proviene de la firma de telecomunicaciones Twilio, cuyos desarrolladores han lanzado una herramienta gratuita para prevenir que los desarrolladores suban accidentalmente a los repositorios de código algún archivo potencialmente confidencial.
Bautizada como “Deadshot”, esta herramienta es capaz de monitorear solicitudes de extracción en GitHub en tiempo real, además de identificar la posible inclusión de información confidencial en cualquier muestra de código. Laxman Eppalagudem, ingeniero de software responsable de este proyecto, menciona que es prácticamente imposible monitorear de forma manual todo el código subido a estas plataformas, por lo que los expertos de Twilio comenzaron el desarrollo de una herramienta funcional para estos casos.
“Esta herramienta funciona con el enfoque conocido como ‘implementar y olvidar’; como se ejecuta en cada confirmación, Deadshot deberá alertar a los propietarios de un proyecto antes de que cualquier rastro de información potencialmente confidencial abandone la infraestructura de la organización. Los desarrolladores pueden especificar qué clase de información desean monitorear con Deadshot, lo que les permitirá recibir alertas en caso de posible filtración.”
El lanzamiento de Deadshot está respaldado por una minuciosa investigación a cargo de los equipos de seguridad de Twilio: “Hemos descubierto que la mayoría de los incidentes involucrando información confidencial expuesta en repositorios están vinculados a descuidos en los equipos de desarrollo; la herramienta aportará una capa adicional de seguridad para prevenir la exposición de secretos corporativos y mejorar las prácticas en la industria del desarrollo de software”, menciona Yashvier Kosaraju, gerente de seguridad de productos en Twilio.
Kosaraju agregó que Deadshot ha sido diseñado para que solo los administradores de la organización puedan instalarlo en cuentas de Github, con lo que esperan reduzca significativamente el peligro de hacking vinculado a la herramienta: “Otros scripts y bots que realizan este tipo de escaneo en GitHub y otros repositorios de código ya están bien establecidos en el lado ofensivo, por lo que el uso de Deadshot será exclusivamente con fines de seguridad.”
Para conocer más sobre riesgos de seguridad informática, malware, vulnerabilidades y tecnologías de la información, no dude en ingresar al sitio web del Instituto Internacional de Seguridad Cibernética (IICS).
Trabajando como arquitecto de ciberseguridad, el se enfoca en protección de datos y la seguridad de datos empresariales. Antes de unirse a nosotros, ocupó varios puestos de investigador de ciberseguridad con diferentes empresas. También tiene experiencia en diferentes industrias como finanzas, salud medica y reconocimiento facial.