🟢 🛡️ Sigurnost Objavljeno: · 3 min čitanja ·

GitHub proširuje secret scanning na cijelu javnu površinu GitHuba za enterprise korisnike

Editorial ilustracija: GitHub skeniranje tajni i javno praćenje procurjelih vjerodajnica za organizacije

GitHub uvodi javno praćenje (public monitoring) za enterprise u okviru Secret Protectiona: skenira cijeli github.com u realnom vremenu, atribuira procurjele tajne natrag organizacijama i uključuje PR komentare te Issues — bez dodatne naplate.

🤖

Ovaj članak generiran je uz pomoć umjetne inteligencije na temelju primarnih izvora.

GitHub je 1. srpnja 2026. objavio značajno proširenje svog secret scanning sustava za enterprise korisnike: public monitoring koji prati cijelu javnu površinu github.com i u realnom vremenu atribuira pronađene procurjele tajne natrag organizacijama. Funkcionalnost dolazi bez dodatne naplate za korisnike s GitHub Secret Protection pretplatom.

Što je problem koji ovo rješava?

Tradicionalni GitHub secret scanning štitio je repozitorije koje organizacija direktno posjeduje. No tajne (API ključevi, tokeni, lozinke) često procure u kontekstima koji su izvan tog perimetra: personal forkovi zaposlenika, open source projekti u kojima suradnici participiraju kao privatne osobe, ili čak komentari u Issues i pull requestovima na potpuno nesrodnim repozitorijima.

Upravo tu nastaje slijepa mrlja: organizacija ne zna da je nečiji radni API ključ završio u javnom komentaru negdje na GitHubu — sve dok netko zlonamjeran to ne primijeti prije nje.

Kako funkcionira javno praćenje

Nova funkcionalnost skenira git sadržaj, komentare pull requestova i GitHub Issues — dakle sve što je javno vidljivo na platformi, ne samo matične repozitorije organizacije. Kada sustav detektira tajnu, mora je atribuirati nekoj organizaciji. Za to koristi dvije metode.

Je li member-based atribucija dovoljno pouzdana?

Member-based atribucija funkcionira tako da sustav provjerava je li GitHub račun koji je commitao sadržaj registrirani član enterprise organizacije. Ovo pokriva “upravljane račune i poznate članove”, kako GitHub navodi. Metoda je precizna, ali ima ograničenje: ne hvata zaposlenike koji na GitHub-u nastupaju privatnim računima nepovezanim s organizacijom.

Tu dolazi do izražaja druga metoda: verified domain matching. Sustav uspoređuje email adresu commitera s domenama koje je organizacija verificirala u GitHub postavkama. Ako zaposlenik commita s radnom email adresom sa svog privatnog GitHub računa, nalaz se i dalje atribuira organizaciji — čak i bez formalnog membership linka. Svaki pronađeni nalaz prikazuje koja je od dviju metoda korištena, tip tajne, javnu lokaciju i podatke o commiteru.

Bez konfiguracije, bez čekanja

Postavljanje je minimalistično: enterprise owneri i security manageri uključuju funkcionalnost kroz Security tab u postavkama organizacije. Nema dodatne konfiguracije — odmah nakon aktivacije vidljivi su recentno procurjeli nalazi i počinje kontinuirano praćenje. GitHub ne zahtijeva instalaciju dodatnih alata niti integraciju s eksternim sustavima.

Bez dodatne naplate

Ovo je bitna stavka: public monitoring uključen je u postojeću GitHub Secret Protection pretplatu bez ikakve doplate. Za organizacije koje Secret Protection već koriste, ovo je nadogradnja koja proširuje pokrivenost bez promjene troškova.

Značenje za sigurnosne timove

Za security i DevSecOps timove, ova promjena popunjava konkretnu prazninu u vidljivosti. Umjesto reaktivnog otkrivanja — kada korisnik ili eksterni istraživač prijavi problem — organizacije dobivaju proaktivni monitoring koji prati javnu površinu cijele platforme.

Posebno je vrijedan aspekt atribucije koja radi i za neformalno povezane račune. Zaposlenik koji zaboravi da koristi radni email na privatnom GitHub profilu, pa accidentalno commitira tajni ključ u osobnom projektu, više ne ostaje ispod radara. Organizacija dobiva nalaz u realnom vremenu, s jasno označenom metodom detekcije i svim metapodacima potrebnima za brzu reakciju.

Za organizacije koje operiraju u reguliranim industrijama ili rukuju osjetljivim klijentskim podacima, ova razina pokrivenosti postaje sve manje “nice to have” i sve više standardni minimum.

Česta pitanja

Što je točno novo u GitHub secret scanningu za enterprise?
GitHub sada prati cijelu javnu površinu github.com — uključujući git sadržaj, komentare pull requestova i GitHub Issues — i u realnom vremenu atribuira pronađene tajne natrag enterprise organizacijama putem dva mehanizma: member-based atribucije i verified domain matchinga.
Kako GitHub zna kojoj organizaciji pripada procurjela tajna?
Koristi dvije metode: member-based (committerov GitHub račun je registrirani član enterprisea) i verified domain matching (committerov email odgovara domeni koju je organizacija verificirala, čak i ako račun nije formalno povezan s enterpriseom).
Koliko košta ova nova funkcionalnost?
Nema dodatne naplate — uključena je u postojeću pretplatu za GitHub Secret Protection.