GitHub proširuje secret scanning na cijelu javnu površinu GitHuba za enterprise korisnike
GitHub uvodi javno praćenje (public monitoring) za enterprise u okviru Secret Protectiona: skenira cijeli github.com u realnom vremenu, atribuira procurjele tajne natrag organizacijama i uključuje PR komentare te Issues — bez dodatne naplate.
Ovaj članak generiran je uz pomoć umjetne inteligencije na temelju primarnih izvora.
GitHub je 1. srpnja 2026. objavio značajno proširenje svog secret scanning sustava za enterprise korisnike: public monitoring koji prati cijelu javnu površinu github.com i u realnom vremenu atribuira pronađene procurjele tajne natrag organizacijama. Funkcionalnost dolazi bez dodatne naplate za korisnike s GitHub Secret Protection pretplatom.
Što je problem koji ovo rješava?
Tradicionalni GitHub secret scanning štitio je repozitorije koje organizacija direktno posjeduje. No tajne (API ključevi, tokeni, lozinke) često procure u kontekstima koji su izvan tog perimetra: personal forkovi zaposlenika, open source projekti u kojima suradnici participiraju kao privatne osobe, ili čak komentari u Issues i pull requestovima na potpuno nesrodnim repozitorijima.
Upravo tu nastaje slijepa mrlja: organizacija ne zna da je nečiji radni API ključ završio u javnom komentaru negdje na GitHubu — sve dok netko zlonamjeran to ne primijeti prije nje.
Kako funkcionira javno praćenje
Nova funkcionalnost skenira git sadržaj, komentare pull requestova i GitHub Issues — dakle sve što je javno vidljivo na platformi, ne samo matične repozitorije organizacije. Kada sustav detektira tajnu, mora je atribuirati nekoj organizaciji. Za to koristi dvije metode.
Je li member-based atribucija dovoljno pouzdana?
Member-based atribucija funkcionira tako da sustav provjerava je li GitHub račun koji je commitao sadržaj registrirani član enterprise organizacije. Ovo pokriva “upravljane račune i poznate članove”, kako GitHub navodi. Metoda je precizna, ali ima ograničenje: ne hvata zaposlenike koji na GitHub-u nastupaju privatnim računima nepovezanim s organizacijom.
Tu dolazi do izražaja druga metoda: verified domain matching. Sustav uspoređuje email adresu commitera s domenama koje je organizacija verificirala u GitHub postavkama. Ako zaposlenik commita s radnom email adresom sa svog privatnog GitHub računa, nalaz se i dalje atribuira organizaciji — čak i bez formalnog membership linka. Svaki pronađeni nalaz prikazuje koja je od dviju metoda korištena, tip tajne, javnu lokaciju i podatke o commiteru.
Bez konfiguracije, bez čekanja
Postavljanje je minimalistično: enterprise owneri i security manageri uključuju funkcionalnost kroz Security tab u postavkama organizacije. Nema dodatne konfiguracije — odmah nakon aktivacije vidljivi su recentno procurjeli nalazi i počinje kontinuirano praćenje. GitHub ne zahtijeva instalaciju dodatnih alata niti integraciju s eksternim sustavima.
Bez dodatne naplate
Ovo je bitna stavka: public monitoring uključen je u postojeću GitHub Secret Protection pretplatu bez ikakve doplate. Za organizacije koje Secret Protection već koriste, ovo je nadogradnja koja proširuje pokrivenost bez promjene troškova.
Značenje za sigurnosne timove
Za security i DevSecOps timove, ova promjena popunjava konkretnu prazninu u vidljivosti. Umjesto reaktivnog otkrivanja — kada korisnik ili eksterni istraživač prijavi problem — organizacije dobivaju proaktivni monitoring koji prati javnu površinu cijele platforme.
Posebno je vrijedan aspekt atribucije koja radi i za neformalno povezane račune. Zaposlenik koji zaboravi da koristi radni email na privatnom GitHub profilu, pa accidentalno commitira tajni ključ u osobnom projektu, više ne ostaje ispod radara. Organizacija dobiva nalaz u realnom vremenu, s jasno označenom metodom detekcije i svim metapodacima potrebnima za brzu reakciju.
Za organizacije koje operiraju u reguliranim industrijama ili rukuju osjetljivim klijentskim podacima, ova razina pokrivenosti postaje sve manje “nice to have” i sve više standardni minimum.
Česta pitanja
- Što je točno novo u GitHub secret scanningu za enterprise?
- GitHub sada prati cijelu javnu površinu github.com — uključujući git sadržaj, komentare pull requestova i GitHub Issues — i u realnom vremenu atribuira pronađene tajne natrag enterprise organizacijama putem dva mehanizma: member-based atribucije i verified domain matchinga.
- Kako GitHub zna kojoj organizaciji pripada procurjela tajna?
- Koristi dvije metode: member-based (committerov GitHub račun je registrirani član enterprisea) i verified domain matching (committerov email odgovara domeni koju je organizacija verificirala, čak i ako račun nije formalno povezan s enterpriseom).
- Koliko košta ova nova funkcionalnost?
- Nema dodatne naplate — uključena je u postojeću pretplatu za GitHub Secret Protection.
Povezane vijesti
MARS: Tekstualni smjerovi odbijanja štite multimodalne AI modele bez dodatnog treniranja
LangChain: Kako pokrenuti nepouzdani agentski kod bez vanjskog sandboxa
arXiv:2606.28270: Agent-Native Immune System — šestoslojna runtime obrana ugrađena u zaključivanje AI agenata